Eunmin Lee、Joohee Lee和Yuntoo Wang
结构格上的错误学习(LWE)问题及其变体在高效的后量子密码系统中得到了广泛的应用。最近,May提出了Meet-LWE攻击,这在使用三值机密分析LWE的中间会议方法的工作中取得了重大进展。在这项工作中,我们通过引入三元树来推广和扩展Meet-LWE的思想,这导致了秘密的不同表示。更准确地说,我们将秘密分成三个维度相同的部分,并将其扩展为三元树,以利用增加的表示来提高整体攻击复杂性。我们仔细分析并优化了利用三叉树的攻击算法的时间和内存开销,并将其与Meet-LWE攻击进行了比较。通过渐近和非渐近比较,我们发现与Meet-LWE攻击相比,我们的攻击为所有参数设置提供了改进的估计,包括实际量子后方案的参数设置。我们还评估了KpqC竞赛第二轮候选的安全性,该竞赛旨在标准化大韩民国的量子后公钥密码系统,并报告说,我们对SMAUG-T攻击的估计复杂度低于一些推荐参数的要求。
卢卡斯·皮斯克、贾斯帕尔·辛格和尼·特里奥
一类程序$\mathcal{F}$的函数秘密共享(FSS)方案($\mathsf{gen},\mathsf{eval}$)允许经销商秘密共享任何函数$F\in\mathcal{F}$,这样每个函数共享都隐藏了函数,共享可以用于非交互地计算任何输入$x$的$F(x)$的加法共享。所有与FSS相关的应用程序通常需要经销商为一批功能生成和共享秘密共享。我们开始研究批处理函数秘密共享,其目标是秘密共享类$\mathcal{F}$中的一组函数,同时最小化FSS密钥集合的大小。我们使用标准同态秘密共享(HSS)方案、奇偶噪声学习假设和二次剩余假设的变体,构造了输出为单位和多位点函数的分批FSS方案。对于点函数,我们的方案比最新的原始批处理FSS方案具有渐近优势。具体来说,随着批大小从$2^{13}$增加到$2^}19}$,我们的批密钥大小减小了$3-80倍$。尽管我们的协议依赖于公钥操作,但它在局域网环境中效率低下。然而,它在网络带宽较慢的WAN设置中显示出了120倍的改进。作为我们协议中的一个构建块,我们引入了一种新的HSS密文压缩算法,该算法可以对压缩后的短密文进行解压缩,从而得到输入消息比特数组的低噪声密文。此原语可能会对其他HSS相关应用程序产生独立的兴趣。
提前终止拜占庭协议,以$(1+\epsilon)\cdot f$Rounds为单位
Fatima Elsheimy、Julian Loss和Charalampos Papamanthou
在本文中,我们针对腐败的少数$t<n/2$提出了两个早期停止拜占庭协议协议,其中$t$表示恶意方的最大数量。提前停止协议可确保在仅由执行过程中存在的恶意节点$f$的实际数量决定的轮数内终止,与$t$无关。我们的第一个协议是确定性的,确保在$(d+5)\cdot(\lfloor f/d\rfloor+3)$rounds中提前终止,其中$d$是一个固定常数。例如,对于所有$d\ge 6$,我们的协议最多运行$(1+\epsilon)\cdot f$个回合(其中$0<\epsilen<1$),改进了Perry和Toueg以前最好的提前停止确定性广播协议(对于大$f$),该协议以$min(2f+4.2t+2)$rounds终止。此外,我们的第二个协议是随机的,确保在预期的固定轮数内终止,并在最坏情况下在$(d+9)\cdot(\floor f/d\floor+2)$rounds内实现提前停止。这标志着与Goldreich和Petrank的类似结果相比有了显著改进,后者总是需要预期的恒定轮数,在最坏的情况下需要$O(t)$轮,即不具有提前停止特性。
谢耀庆、林慧佳、罗纪杰
我们提出了一个基于格的任意函数类基于属性的加密(ABE)方案的通用框架,该方案由两部分组成:i)类的噪声线性秘密共享方案;ii)一种新型的内部生成函数加密(IPFE)方案,称为“规避”IPFE,我们在这项工作中介绍了这一点。我们提出了基于格的回避IPFE方案,并基于Wee[EUROCRYPT'22]和Tsabary[CRYPT'22]最近提出的带误差回避学习(LWE)假设的变体,在简单条件下建立了它们的安全性。我们的通用框架是模块化的,概念简单,将构建ABE的任务简化为构建有噪声的线性秘密共享方案,这是一种更轻量级的原语。基于规避LWE假设的变体的三个新ABE方案证明了我们框架的多功能性。-对于所有具有预定深度界限的多项式规模电路,我们获得了两个密文策略ABE方案。其中一个方案具有简洁的密文和密钥,在深度范围内是多项式大小,而不是电路大小。这消除了对张量LWE的需要,这是另一个新的假设,与Wee之前的最先进的结构相比[EUROCRYPT’22]。-我们为确定性有限自动机(DFA)和逻辑空间图灵机($\mathsf{L}$)开发了密文策略和密钥策略ABE方案。它们是第一个支持统一计算模型的基于格的公钥ABE方案。以前用于统一计算的基于格的方案仅限于秘密密钥设置,或者只提供较弱的安全性来防止有界合谋。最后,回避IPFE的新原语作为基于对的IPFE的基于格的对等物,使基于对的ABE构造中开发的技术能够应用于基于格的构造。我们相信这是一个独立的兴趣,并可能会找到其他应用。
皮埃尔·梅耶、克劳迪奥·奥兰迪、劳伦斯·罗伊和彼得·斯科尔
我们提出了一种使用同态秘密共享技术对算术电路进行加密的新方法,获得了支持自由加法门的高速结构。特别是,我们建立在非交互协议的基础上,用于计算具有简单离散长子群的群中的分布式离散对数,进一步证明了同态秘密共享工具的通用性。依赖于Damgárd-Jurik密码系统的分布式离散日志(Roy和Singh,Crypto`21),其安全性遵循决策复合残差假设(DCR),我们得到以下主要结果:[**Damgárd-Jurik的IND-CPA安全性中,每次乘法两个密文。**]假设Damgárd-Jurik密码系统在语义上是安全的(根据DCR),对于使用$B$有界整数算法的电路,存在一种加密方案,每次乘法只使用两个密文。产生的乱码电路的总比特大小为:$$(n+2s_\次+2D_\次)\cdot(\zeta+1)\cdot\log n$$其中$n$是输入数,$s_times$是乘法数,$D_times@是电路的乘法深度,$n$是RSA模,$n^{zeta-1}$是计算中线值大小的大致界限。[**Damgárd-Jurik的KDM安全性中,每次乘法一个密文。**]假设Damgárd-Jurik加密方案在给定密钥及其逆密钥加密的情况下仍然是安全的,则构造的速率为-1$。产生的乱码电路的总比特大小为:$$(n+s_times+1)\cdot(\zeta+1)\cdot\log n$$其中参数如上所示,但$N^{\zeta-2}$是震级界限。作为一个附带的结果,我们表明,我们的基于IND-CPA安全性的方案对于水平电路实现了$3/5$的速率。
王大钊、亚历山大·马克西莫夫、帕特里克·埃克达尔和托马斯·约翰逊
在本文中,我们提出了一种新的高效的独立MAC构造,该构造基于使用流密码家族SNOW中的FSM部分进行处理,而流密码家族雪诺又使用AES循环函数。它在软件和硬件上提供了非常高的速度与可截断标签的结合。提出了两个具有不同安全级别的SMAC具体版本,尽管也可能有其他用例。例如,SMAC可以与AEAD模式下的外部加密引擎相结合。每一个设计选择都是合理的,并得到了我们分析和模拟结果的支持。该方案的一个新颖之处是,它满足了未来的性能要求,但在标记大小较短时,仍然不易直接受到使用重复nonce的攻击,而其他非常快速的MAC(基于多项式散列的MAC)也是如此。这在实际应用中可能是一个重要方面。
全球泛型群和UC-Secure零开销SNARK的勇敢新世界
Jan Bobolz、Pooya Farshim、Markulf Kohlweiss和Akira Takahashi
通用可组合性(UC)模型为在任意上下文中使用的协议提供了强大的安全保障。虽然这些保证非常可取,但在实践中,首选具有独立安全性证明的方案,如Groth16证明系统。这是因为UC安全通常会带来不必要的开销,有时会使UC安全方案的效率大大低于其独立方案。我们建立了Groth16的UC安全性,没有任何重大开销。本着全局随机预言的精神,我们设计了一个全局(受限)可观察的通用组功能,该功能模拟了可观察性的自然概念:追溯到从其他会话生成器派生的组元素的计算是可观察的。这个概念的形式化令人惊讶地微妙。我们提供了一个通用框架,用于在存在全局通用组的情况下证明协议的安全性,然后将其应用于Groth16。
阿诺德·西帕塞特
在本文中,我们介绍了ALTEQ密码系统的三种变体,这是最近提交给NIST的另一个签名请求。我们将这些ALTEQ的危险变体(DVA)命名为“危险变体”(Dangerous Variations of ALTEQ,DVA),因为尽管我们试图保持启发式安全性,但退出通常的构造总是有一定的危险。首先,我们介绍DVA-GG(图形泛化),它可以被视为对ALTEQ中所做操作的更抽象的观点,并鼓励对代数变体进行更多研究。特别是,我们展示了这种方法可以为Beullens最近对ALTEQ的种子碰撞攻击提供补丁计数器,这种攻击只依赖于原语,并展示了原语在实验协议中的一些奇特用法。其次,我们提出了DVA-PC(预计算),它与随机预言模型中的ALTEQ一样“可能”安全,并允许通过易于并行的额外操作大幅减少签名和验证过程中的中间内存需求。特别是,这有助于预计算变量的在线阶段,而在线阶段仅取决于基本矩阵运算的复杂性。然后,我们可以选择每个签名使用一个很小的脱机内存,或者获得后量子密码最快的在线签名速度。第三,我们提出了DVA-DM(Distinct Matrices),它是一些偏离ALTEQ原始代数结构的密码分析目标。这些结构可以作为简单的计算加速,也可以仅仅压缩数据大小,并提供良好的选项来激励专业学习ALTEQ的密码分析:如果这些是安全的,那么ALTEQ将获得安全的变体,否则,我们将进一步了解这些问题。特别是,这些思想可以应用于ALTEQ以外的领域,并有望扩展到MEDS、LESS和基于组操作的加密。
诺加·隆·泽维和莫尔·韦斯
交互式Oracle证明(IOP)允许概率验证器与证明程序交互,以验证NP语句的有效性,同时只读取证明程序消息中的几位。IOP将标准概率可检验证明(PCP)推广到交互式设置中,并且自其引入以来的几年里,已经在感兴趣的主要参数(如证明长度、证明人和验证器运行时间)方面表现出了重大改进,这反过来导致简洁论据结构的显著改进。零知识(ZK)IOP还保证可以有效地模拟任何有查询限制(可能是恶意的)验证器的视图。ZK IOP是简洁的ZK参数的主要构建块,这些参数使用底层加密对象(例如,抗冲突哈希函数)作为黑盒。在这项工作中,我们构造了第一个接近自然NP问题的见证长度的ZK-IOP。更具体地说,我们为3SAT设计了恒定查询和恒定全IOP,其中总通信量为$(1+\gamma)m$,其中$m$是变量的数量,$\gamma>0$是一个任意小的常量,ZK反对验证器在恒定$\beta>0$的情况下从验证器消息中查询$m^\beta$位。这给出了Ron-Zewi和Rothblum(FOCS`20)最近结果的ZK变体,他们构建了(非ZK)IOP,接近一大类NP语言的见证长度。以前的ZK-IOP构造在证明长度中产生了一个(未指定的)较大的常量乘法开销,即使对诚实的验证者限制为ZK。我们通过改进大多数ZK-IOP构造的两个主要构建块,即ZK代码和用于汇总检查的ZK-IOPs,来获得我们的ZK-IO。更具体地说,我们为sumcheck提供了第一个ZK-IOP,它实现了sumchecking的次线性通信(通用张量代码)和ZK保证。我们还证明了ZK码张量的强ZK保持性,这扩展了Bootle、Chiesa和Liu(EC`22)的最新结果。考虑到这些对象在设计ZK-IOP中的核心作用,这些结果可能会引起独立的兴趣。
更快的验证和更小的签名:使用拒绝对ALTEQ进行权衡
阿诺德·西帕塞特
在本文中,我们在Goldreich-Micali-Widgerson与Fiat-Shamir的实例化中引入了一个新的概率函数参数,ALTEQ中使用了非平衡挑战,最近的NIST PQC候选者在请求附加签名时使用了该参数。设置为100%的概率不会给方案带来任何变化,但在低于100%时,会通过在其他完全有效的输入中注入潜在拒绝来修改公共质询生成过程。从理论上看,这并没有提高方案的渐近硬度,并对签字人的效率产生负面影响,而且本身可能看起来微不足道。然而,从实用的角度来看,无论是实现还是性能,这种琐碎性都允许在优化参数时有额外的自由度,因为针对伪造者的启发式安全级别也有所提高:以前有效的组合现在可以被视为无效。这允许我们权衡减少验证器中的计算负载,加速验证,略微减少签名大小,但代价是使签名速度变慢并且不太可能是恒定的时间。特别是,这种额外的自由度允许做出实现选择,从而能够更顺畅、更快地执行上述协议,特别是在使用矢量化指令的并行化环境中。当减缓签名过程不是问题时,我们还向ALTEQ证明了我们的建议对于其他选项的有用性:签名明显较小,但验证时间较长,或者公钥大小较低。提出的思想适用于任何原语,并且可以在ALTEQ之外使用。
达米亚诺·阿布拉姆、劳伦斯·罗伊和彼得·斯科尔
该工作引入了共享大小简洁的同态秘密共享(HSS)。在HSS中,各方共享私有输入,然后各方可以同态地对其共享的函数进行求值,从而获得函数输出的共享。在简洁的HSS中,一部分输入可以使用在此类输入数量上大小为次线性的份额进行分配。然后,各方可以对共享上的函数$f$进行局部求值,限制是$f$在简洁共享的输入中必须是线性的。我们为分支程序构造了简洁的两部分HSS,它基于决策复合残差假设、类组中类似DDH的假设,或者基于超多项式模噪比的错误学习。然后,我们给出了简洁HSS的几个应用,这些应用以前只使用完全同态加密或更强大的工具才知道:-简洁向量不经意线性求值(VOLE):双方可以获得任意长向量$\vec x$乘以标量$\Delta$的秘密份额,且通信向量的大小为次线性。-批、多方分布式点函数:一种协议,用于在$N$方之间分配一批秘密、随机点函数,对于任意多项式$N$,DPF数的通信次线性。-任意数量参与方的次线性MPC:具有次线性通信复杂度的MPC的两种新构造,任意多项式$N$具有$N$参与方:(1)对于大小为$s$的一般分层布尔电路,具有通信$O(N s/\log\logs)$,以及(2)对于具有通信$0(N s/\ logs)美元的分层、足够宽的布尔电路。
Mehmet Sabir Kiraz、Enrique Larraia和Owen Vaughan
我们解释了如何扩展Garay等人的比特币骨干模型(Eurocrypt,2015),以适应可编辑的区块链。我们的扩展捕获了基于fluid区块链的数据库(具有可变要求)和对现有法规的遵守,例如GDPR被遗忘的权利,或者需要从节点数据库中删除违规数据,否则会导致合法关闭。我们的可编辑主干协议保留了区块链的基本属性。利用零知识证明,可以删除旧数据,而无需可信的第三方或对过去的链验证进行启发。我们的解决方案可以立即在比特币上实现,无需硬件,并且具有可扩展性。它允许编辑来自UTXO的数据或尚未充斥网络的未确认交易,同时保证比特币状态的不变性。因此,违规数据不需要在系统中持久存在,甚至暂时也不需要。
塞巴斯蒂安·卡纳德(Sébastien Canard)、卡罗琳·丰丹(Caroline Fontaine)、邓海芬(Duong Hieu Phan)、大卫·波因契瓦尔(David Pointcheval)、马克·雷纳德(Marc Renard)和雷诺德·瑟迪
在最近的Eurocrypt’24论文中,Manulis和Nguyen提出了新的CCA安全概念、vCCA和相关的施工蓝图,以利用CPA安全和正确的FHE超越CCA1安全屏障。然而,由于他们的方法仅在正确性假设下有效,因此,由于实践中使用的许多FHE方案都是近似的,因此不满足正确性假设,因此,FHE频谱的很大一部分未被覆盖。在本文中,我们通过定义和研究一种适用于包含近似FHE的更一般情况的安全概念变体来改进他们的工作。由于CPAD更适合捕获近似FHE方案的被动安全性,而不是CPA安全性,因此我们从以前的概念开始定义我们的vCAD新安全概念。尽管我们表明,当正确性假设成立时,vCCA和vCCAD是等价的,但我们确定,在一般情况下,vCCAD安全性严格高于vCCA安全性。在这样做的过程中,我们有趣地在强度不断增加的CPAD安全变体之间建立了几个新的分离结果。这使我们能够澄清vCCA安全性和CPAD安全性之间的关系,并揭示出对于精确的FHE来说,安全概念比包含近似概念时要简单得多——例如,在这种情况下,我们确定,对于CPAD和vCAD安全来说,多重挑战安全概念比单一挑战安全概念严格更强。最后,我们还提供了具体的施工蓝图,展示了如何利用Manulis和Nguyen提出的一些蓝图来实现vCAD安全。因此,vCAD安全是迄今为止已知的最强大的CCA安全概念,可以通过正确和近似的FHE方案实现。
夏洛特·霍夫曼
由Goyal、Song和Srinivasan(CRYPTO’21)推出的可追踪门限秘密共享方案,允许可证明地追踪泄露给泄露方的泄露股份。作者首次给出了可追踪秘密共享方案的定义和构造。然而,在他们的建设中,股份的大小是秘密大小的二次方。Boneh、Partap和Rotem(CRYPTO’24)最近提出了可追踪秘密共享的新定义和第一个实际构造。在他们的定义中,考虑一个重建框$R$,其中包含$f$泄漏的股份,在输入$t-f$额外股份时,输出秘密$s$。如果一个人只能通过黑盒访问$R$来发现$R$盒子里泄露的股份,那么这个方案就是可追踪的。Boneh、Partap和Rotem根据Shamir的秘密共享和Blakely的秘密共享给出了构造。由于秘密共享的大小只有秘密大小的两倍,因此这些构造是有效的。在这项工作中,我们提出了第一个基于中国剩余定理的可追踪秘密共享方案。Boneh、Partap和Rotem认为这是一个公开的问题,因为它导致了具有加权阈值访问结构的可追踪秘密共享。该方案基于米格诺特的秘密共享,并将标准米格诺特秘密共享方案的份额增加了2美元。
有限密钥重用的风险:针对Kyber的自适应和并行后处理不匹配攻击
钱果、埃里克·马尔滕森和阿德里安·奥斯特罗姆
本文研究了NIST选择用于标准化的基于错误学习(LWE)的密钥封装机制(KEM)Kyber对密钥失配攻击的鲁棒性。我们证明,通过在并行化级别和后处理的格减少成本之间取得平衡,Kyber的安全级别可能会因一些不匹配查询而受到影响。这突出表明,迫切需要严格禁止CPA-secure Kyber中的密钥重用。我们进一步提出了一种增强并行失配的自适应方法这些攻击最初由Shao等人在AsiaCCS 2024上提出,从而显著降低了查询复杂性。该方法通过格约简将自适应攻击与后处理相结合来检索最终的密钥条目。我们的方法通过将Kyber512和Kyber768/Kyber1024的查询复杂度分别降低14.6%和7.5%来证明其有效性。此外,这种方法有可能大大改进针对CCA-secure版本的Kyber KEM的多值纯文本检查(PC)基于oracle的副通道攻击。
用数据挖掘方法减少由AES小尺度变量导出的多项式方程组
贾娜·贝鲁什科娃、马丁·朱雷切克和奥哈·朱雷科娃
本文研究如何使用代数密码分析来减少AES密码小规模变体的密钥计算时间,而数据挖掘方法可以加速这种分析。这项工作基于已知的明文攻击,旨在通过处理从明文-明文对中提取的多项式方程来加速密钥的计算。具体来说,我们建议将GF(2)上的多项式方程组的超定义系统转换为一个新系统,以便使用F4算法计算Gröbner基所需的时间比原始系统少。其主要思想是将相似多项式分组为簇,并对每个簇求和两个最相似的多项式,从而得到更简单的多项式。我们比较了不同的数据挖掘技术来寻找相似的多项式,例如聚类或位置敏感散列(LSH)。实验结果表明,使用LSH技术,我们得到了一个方程组,与我们在本工作中考虑的其他方法相比,我们可以最快地计算Gröbner基。实验结果还表明,与从原始非变换系统计算Gröbner基的情况相比,计算变换方程组的Gróbner基可大大缩短时间。本文证明了减少过定义的方程组可以减少查找密钥的计算时间。
亚科夫·曼内维奇、哈加尔·梅尔、考塔尔·埃尔基亚维、约夫·托克和梅·布扎格洛
Arma是拜占庭容错(BFT)共识系统,旨在实现所有硬件资源的水平可扩展性:网络带宽、CPU和磁盘I/O。与之前的BFT协议不同,Arma将客户端事务的传播和验证与一致性过程分开,将一致性过程限制为仅对成批事务的元数据进行完全排序。这种分离使各方能够在多台机器之间分配用于事务验证、分发和磁盘I/O的计算和存储资源,从而实现横向可扩展性。此外,Arma通过施加最大值来确保审查阻力包含客户交易的时间限制。我们建造并评估了两个Arma原型。第一个是一个独立的系统,每秒处理超过200000笔交易,第二个集成到Hyperledger Fabric中,使其共识加快了一个数量级。
朱利安·洛斯(Julian Loss)、石克诚(Kecheng Shi)和吉拉德·斯特恩(Gilad Stern)
理解拜占庭协议协议的容错性是分布式计算中的一个重要问题。虽然文献中已经对拜占庭断层的背景进行了深入探讨,但对(可以说更现实的)遗漏断层背景的研究却少得多。在本文中,我们回顾了Loss和Stern最近的工作,他们给出了混合故障模型中的第一个协议,当$2t+r+s<n$和遗漏故障不重叠时,允许$t$拜占庭故障、$s$发送故障和$r$接收故障。我们观察到,当遗漏错误可能重叠时,即当各方可以同时发送和接收错误时,他们的协议无法保证。我们给出了第一个协议,该协议克服了这一限制,并允许相同数量的潜在重叠错误。然后,我们第一次研究了各方都可能成为不作为过失的完全不作为设置。这种设置是由现实世界中的场景驱动的,在这种场景中,每一方都可能不时遇到连接问题,但对于设法输出值的各方来说,仍然应该保持一致。我们使用参数$s<n$和$s+r=n$显示了此设置中的第一个协议。另一方面,我们证明了对于允许甚至单个重叠遗漏错误的总遗漏设置,即$s+r=n+1$和$s>2$,或即使没有重叠错误的$s+r=n$和$s>1$的广播协议,也不存在共识协议。
Susumu Kiyoshima公司
可重置的统计零知识[Garg—Ostrovsky—Visconti—Wadia,TCC 2012]是一个强大的隐私概念,即使证明者在多个证明中使用相同的随机性,也能保证统计零知识。在本文中,我们证明了$NP$的可重置统计零知识参数与$NP$中的见证加密方案的等价性。-积极结果:对于任何$NP$语言$L$,在单向函数存在的假设下,可以从$L$的见证加密方案构造$L$可重置的统计零知识参数。-负面结果:$NP$的偶数可重置统计见证诱导可识别参数的存在意味着在单向函数存在的假设下,$NP$存在见证加密方案。积极的结果是通过自然地扩展现有技术获得的(很可能已经在专家中广为人知)。负面结果是我们的主要技术贡献。为了探索负面结果的解决方法,我们还考虑了模型中的可重置安全性,其中诚实方的随机性仅与固定输入一起重用。我们表明,即使在这个模型中,可重置的统计隐藏承诺方案也是不可能的。
Ali Raya、Vikas Kumar和Sugata Gangopadhyay
类NTRU密码系统是研究最多的基于格的后量子候选系统之一。虽然大多数NTRU建议都是在商多项式的交换环上引入的,但也可以使用其他环。非交换代数早就被认可为构建NTRU新变体的方向。第一次尝试构建非对易变体是因为霍夫斯坦和西尔弗曼对格攻击有更大的抵抗力。该方案是在二面体群的群环上建立的。然而,他们的设计与标准NTRU不同,很快就被发现易受代数攻击。在这项工作中,我们将二面体群上的群环NTRU恢复为GR-NTRU框架的一个实例。与文献中许多非对易变体的提议不同,我们的工作重点是将方案付诸实践。我们通过在非对易环的新设置上提出一种有效的反演算法,描述解密失败模型,并分析与我们的实例化相关的格,明确了使我们的方案可实现的所有方面。最后,我们讨论了针对我们方案的最著名的攻击,并提供了一个针对128位、192位和256位安全级别的实现,以证明其实用性。
Taechan Kim公司
最近对乱码电路的改进主要集中在减小其尺寸上。Rosulek和Roy~(Crypto~2021)最先进的结构需要1.5美元的比特才能在自由XOR设置中进行乱码和门运算。这低于Zahur、Rosulek和Evans~(Eurocrypt ~ 2015)线性混淆模型中先前证明的下限$2\kappa$。最近,Ashur、Hazay和Satish~(eprint 2024/389)提出了一个方案,该方案需要$4/3\kappa+O(1)$bits用于garbing and gates。准确地说,他们将Rosulek和Roy引入的\emph{slicing}概念扩展到了形式为$g(u,v,w):=u(v+w)$的三输入门。通过设置$w=0$,它可以用来乱码AND门,从而提高通信成本。然而,在本文中,我们发现Ashur、Hazy和Satish提出的方案泄漏了有关置换位的信息,从而允许评估者透露有关私人输入的信息。准确地说,我们证明了在他们的乱码方案中,求值器可以计算位$\alpha$和$\beta+\gamma$,其中$\alpha$、$\beta$和$\gamma$分别是输入标签$A$、$B$和$C$的私有置换位。
我们能打破三分之一的下限吗(Im)降低杂乱电路通信成本的可能性
Chunghun Baek和Taechan Kim
最近对乱码电路的改进主要集中在减小其尺寸上。Rosulek和Roy(Crypto 2021)最先进的结构需要1.5美元的比特用于在自由异或设置中的乱码和门。这低于Zahur、Rosulek和Evans(Eurocrypt 2015)线性混淆模型中先前证明的下限$2\kappa$。在一个比线性乱码模型更具包容性的模型中,它们的构造是否最优仍然是个未知数。本文首先为一大类实际的乱码方案提供了一个综合模型并证明了模型中乱码and门大小的下限。我们表明,在我们的带有自由异或设置的新模型中,乱码AND门至少需要1.5美元\kappa$位。值得注意的是,罗苏莱克和罗伊的建筑已经达到了最佳状态尽管事实上,我们的模型可能捕捉到了其构造的任何潜在扩展。
Ascon和Keccak中的最大尺寸同时线性逼近及其平移和微分性质
尼古拉斯·科托瓦(Nicolas T.Courtois)、弗雷德里克·阿米尔(Frédéric Amiel)和亚历山大·博纳尔·德·丰维拉斯(Alexandre Bonnard de Fonvillars)
在本文中,我们研究了被称为Chi或\Chi的S盒,该S盒最初由Daeman于1995年提出,此后在Keccak、Ascon和许多其他地方被广泛使用。[在最近的研究中]通常根据子空间跟踪攻击[TeDi19]和向量空间不变量来分析这类密码。那么,一个有趣的问题是,当不同的空间通过带有常量的平移相互映射时。在本文中,我们放松了这个基本问题,并考虑了任意的点集及其翻译。我们推广了2017年Eurocrypt对Keccak和Ascon的S-box部分线性化结果。我们基本上介绍了将Ascon S-box线性化到最大可能程度的新方法。在此基础上,我们展示了进一步显著的性质以及[同时]线性和[显著]微分性质之间的一些令人惊讶的联系。我们展示了一个新的最大尺寸族和11个点的最佳近似性质,超过了DDT表中任何集合的最大尺寸。我们证明了一个定理,该定理保证了这类属性通过任意输入端转换是稳定的,对于所有二次置换都成立。所有这些都将放在之前关于5位二次排列分类的工作中。
比约恩·克里普克(Björn Kriepke)和高哈尔·吉尔吉斯斯坦(Gohar Kyureghyan)
我们考虑地图$\chi:\mathbb{F} _2^n\to\mathbb{F} _2^对于$n$odd,由$y=\chi(x)$与$y_i=x_i+x{i+2}(1+x{1+1})$给定,其中指数是按$n$的模计算的。我们建议推广映射$\chi$,我们称之为广义$\chi$-映射。我们证明了这些映射形成了一个阿贝尔群,它与$\mathbb中的单位群同构{F} _2[十] /(X^{(n+1)/2})$。使用这种同构,我们很容易获得$\chi$迭代的闭式表达式,并解释它们的属性。
刘延一、诺亚姆·马佐尔和拉斐尔·帕斯
我们对Hirahara和Nanashima(STOC’24)的最新结果进行了简单的另一种解释,表明如果(1)NP中的每种语言都有一个零知识证明/参数,并且(2)ZKA包含非平凡语言,则存在单向函数。我们的演示不依赖于元复杂性,我们希望它可能对教学有用。
Joseph Jaeger、Akshaya Kumar和Igors Stepanovs
我们引入了一种新的密码原语,称为对称签密,它不同于传统的签密,因为发送方和接收方共享一个密钥。我们证明,对称加密和签名的自然组合可以实现强大的安全概念,以抵御可以学习和控制许多密钥的攻击者。然后,我们确定密钥库加密消息传递协议的核心加密算法可以建模为对称签密方案。我们证明了该算法的安全性,尽管我们的证明需要假定底层原语的非标准、脆弱的安全属性。
Rishab Goyal、Venkata Koppula、Mahesh Sreekumar Rajasree和Aman Verma
不可压缩加密(Dziembowski,Crypto'06;Guan,Wichs,Zhandry,Eurocrypt'22)可防止攻击者学习整个解密密钥,但无法存储完整密文。在不可压缩加密中,攻击者必须在收到密钥之前尝试压缩预先指定的内存绑定$S$内的密文。在这项工作中,我们将不可压缩性的概念推广到函数加密。在不可压缩的功能加密中,对手可以在任何时候损坏非区分密钥,但只有在将密文压缩到$S$位以内后才能接收区分密钥。不可压缩加密的一个重要效率度量是密文速率(即$\mathsf{rate}=\frac{|m|}{|\mathsf{ct}|}\;$)。我们给出了不可压缩函数加密的许多新结果:1.使用$\mathsf{ct}$-rate-$\frac{1}{2}$和短密钥,对标准假设下的电路进行基于属性的不可压缩加密,2.(不可压缩)功能加密电路的不可压缩功能加密(a) $\mathsf{ct}$-rate-$\frac{1}{2}$和短密钥,(b) $\mathsf{ct}$-rate-$1$和大密钥。我们的结果达到了最佳效率,因为使用$\mathsf{ct}$-rate-$1$和短密钥的基于属性/函数的不可压缩加密具有很强的不可信屏障。此外,我们的假设是最小的,因为基于属性/函数的不可压缩加密严格地比不可压缩的加密强。
约瑟夫·杰格
随机预言模型中的一项重要证明技术涉及对难以预测的输入重新编程,并辩称攻击者无法检测到这种情况的发生。在量子环境中,这方面的一个特别具有挑战性的版本考虑了自适应重编程,其中要重编程的点(或其应编程的输出值)取决于对手的选择。例如,Unruh(CRYPTO 2014)、Grilo-Hövelmanns-Hülsing-Majenz(ASIACRYPT 2021)和Pan-Zeng(PKC 2024)给出了分析自适应重编程的框架。我们反直觉地表明,这些自适应结果直接遵循Ambainis-Hamburg-Unruh(CRYPTO 2019)的非自适应单向隐藏定理。这些暗示与Ambainis-Hamburg-Unruh结果无法提供自适应框架的某些属性的信念(无论是明确表述还是隐含表述)相矛盾。
Esha Ghosh和Melissa Chase
在保密密钥透明(KT)系统中需要第三方审计师是一个部署挑战。在这个简短的注释中,我们采用了一个简单的隐私保护KT系统,该系统在诚实的审计师(OPTIKS)在场的情况下提供强大的安全保障,并展示了如何向其添加无审计模式。无审计模式提供的安全性略弱。我们形式化了这个安全属性,并证明我们提出的协议满足我们的安全定义。
可证明安全性的新限制及其在ElGamal加密中的应用
斯文·施瓦格
我们提供的新结果表明,ElGamal加密无法被证明为CCA1-secure,这是密码学中一个长期存在的公开问题。我们的结果来源于一个非常广泛的基于元还原的不可能性结果,该结果是关于与有效地重新随机化证人的随机自我还原关系。我们开发的技术首次允许为非常弱的安全概念提供不可能的结果,即挑战者在安全游戏结束时输出新的挑战语句。这可以用来最终解决过去一直难以捉摸的加密类型定义。通过将几个已知的密码设置作为随机自可约和可重随机关系的实例,我们证明了我们的结果具有广泛的适用性。这些设置包括一般的半同态PKE和大类认证的同态单向双射。因此,我们还获得了Paillier和Damgíard–Jurik PKE的IND-CCA1安全性的新的不可能性结果,以及许多一个以上的反演假设,如一个以上DLOG或一个以上RSA假设。
James Xin-yu Chiang、Bernardo David、Tore Kasper Frederiksen、Arup Mondal和Esra Yeniaras
众所周知,要让解密方对公钥加密负责很难,因为密钥所有者可以解密任何任意密文。阈值加密旨在通过在一组必须通过解密协议进行交互的各方之间分配解密权限来解决此问题。然而,这些方可以使用多方计算(MPC)等加密工具来解密任意密文,而不会被检测到。我们引入了带有自证其罪证据的(阈值)加密的概念,其中各方必须在解密每个密文时提供自证其责的解密证据。在标准公钥加密情况下,对手可能会破坏这些证明,因此我们加强了我们的观念,以确保在解密成功时发布这些证明。这会创建一个解密审计跟踪,在解密权由一个必须负责的受信任方(例如,受信任的执行环境)持有的情况下,这非常有用。在阈值情况下,我们确保执行解密协议的各方中至少有一方会学习到自我证明,即使他们使用了MPC等高级工具。一方获知证据并随时可能泄露,这一事实对不希望被认定为恶意解密者的各方(例如,基于阈值加密的服务的商业运营商)起到了威慑作用。我们在适当假设下提供匹配结构的同时,研究了我们的概念的(im)可能性和应用。在阈值情况下,我们基于个人密码术(CRYPTO 2023)的最新结果。
Jelle Don、Serge Fehr、Yu-Hsuan Huang、Jyun-Jie Liao和Patrick Struck
Cremers等人(S&P’21)提出的BUFF变换是数字签名方案的一种通用变换,其目的是获得超越不可伪造性的额外安全保证:独占所有权、消息绑定签名和非抵抗性。不可识别性(本质上是挑战对手重新设计一条仅获得签名的未知消息)被证明是一个微妙的问题,正如最近Don等人(CRYPTO’24)所表明的那样,最初的定义基本上无法实现;特别是,它不是通过BUFF变换实现的。这导致引入了新的、减弱的非抗药性版本,这是(潜在的)可行的。特别是,研究表明,BUFF变换的盐渍变体确实实现了某种减弱版本的非韧性。然而,盐析需要额外的随机性,并导致稍大的签名。最初的BUFF转换是否也实现了一些有意义的非抵抗性概念,这仍然是一个自然的未决问题。在这项工作中,我们肯定地回答了这个问题。我们表明,面对已知的不可能结果,BUFF变换满足了人们可以期望的(几乎)最强的非抗阻性概念。我们的结果涵盖了统计和计算情况,以及经典和量子设置。我们分析的核心是一个新的随机神谕安全游戏,我们称之为“隐藏与搜索”。虽然乍一看似乎是无辜的,但严格分析却令人惊讶地具有挑战性。
丹尼尔·纳格尔
在本文中,我们介绍了由于E.Stickel而产生的基于非交换代数的密钥协商的进一步发展,以及处理由于V.Sphilrain而产生的代数中断的方法。
洛伦佐·格拉西(Lorenzo Grassi)、刘福康(Fukang Liu)、克里斯蒂安·雷赫伯格(Christian Rechberger)、费比安·施密德(Fabian Schmid)、罗曼·沃尔奇(Roman Walch)和王庆举(Qingju Wang)
Rasta设计策略可以通过随机化密码有效地防止统计攻击和代数攻击,从而构建低轮密码,这使得它特别适合于混合同态加密(HHE),也称为转码。这种随机化是通过对每一轮新密码评估的新可逆矩阵进行伪随机采样来实现的。然而,对每轮随机可逆矩阵进行天真抽样会显著影响普通评估运行时,尽管它不会影响同态评估成本。为了解决这个问题,ToSC 2020提出了Dasta,以降低生成随机矩阵的成本。在这项工作中,我们从不同的角度解决了这个问题:为了在不牺牲安全性的情况下最小化普通计算运行时,可以在多大程度上减少Rasta-like设计中的随机性?为了回答这个问题,我们仔细研究了类拉斯塔密码的主要威胁以及随机矩阵在确保安全方面的作用。我们将结果应用于最近提出的密码$\text{PASTA}$,提出了一个名为$\text的修改版本{帕斯塔}_\文本{v2}$用一个初始随机矩阵和固定线性层实例化,这是通过将两个MDS矩阵与Kronecker乘积结合而得到的,用于其他回合。与用于BGV和BFV样式HHE的最先进的密码$\text{PASTA}$相比,我们的评估表明$\text{帕斯塔}_\纯文本{v2}$速度快100%,而SEAL同态加密库中的同态运行时相同,HElib中的求值时间分别快30%。
Xavier Bultel公司
环签名允许组(称为“环”)的成员在组内匿名签名消息,这是在签名时临时选择的(成员之前不需要进行交互)。在本文中,我们提出了一种物理版本的环签名。我们的签名基于多个签名中的一个,这是许多实际加密环签名中使用的一种方法。它由装有用挂锁锁上的硬币的盒子组成,这些硬币只能由特定的小组成员打开。要签署消息,小组成员摇晃小组其他成员的盒子,使硬币处于随机状态(“头”或“尾”,对应于比特$0$和$1$),并打开他们的盒子来排列硬币,使硬币的唯一“或”对应于他们想要签署的消息的比特。我们提出了一个原型,可以用于硬币,也可以用于以较大(非二进制)字母编码的消息的骰子。我们建议这个系统可以用一种有趣的方式向公众解释环形签名。最后,我们基于真实的密码安全证明对签名的安全性进行了半形式化分析。
FairSec:通过SPDZ兼容的不经意PRF公平和恶意保护电路PSI
杨亚熙、梁晓坚、宋祥福、黄林亭、任红玉、董长玉、周建英
私有集交集(PSI)允许双方计算其输入集的交集,而不会显示比计算结果更多的信息。PSI及其变体在实践中有许多应用。Circuit PSI是一个著名的变体,旨在计算交集集中项目的任何函数$f$。然而,现有的circuit-PSI协议仅提供针对\emph{半诚实}对手的安全性。一个简单的解决方案是将基于纯乱码电路的PSI(NDSS’12)扩展到恶意安全的电路PSI,但这将导致非具体的复杂性。另一个是将最先进的半诚实电路PSI协议(EUROCRYPT’21;PoPETS’22)转换为在恶意环境中的安全协议。然而,它会遇到\emph{一致性问题},因为各方不能保证功能$f$的输入与上一步中获得的输入保持不变。本文通过引入第一个恶意电路PSI协议FairSec来解决上述问题。FairSec的核心构建块称为分布式双密钥不经意PRF(DDOPRF),它使用双密钥对秘密共享输入进行不经意评估。此外,我们确保DDOPRF与SPDZ的兼容性,增强了我们的电路PSI协议的多功能性。值得注意的是,我们的结构允许我们毫不费力地保证电路PSI中的公平性。重要的是,FairSec还实现了线性计算和通信复杂性。
斯文·鲍尔(Sven Bauer)、法布里奇奥·德·桑蒂斯(Fabrizio De Santis)、克里斯特简·科莱西(Kristjane Koleci)和安妮塔·阿盖伊(Anita Aghaie)
在计算机算术运算中,数论转换(NTT)在高效实施中发挥着重要作用循环卷积和负循环卷积的乘法应用大整数和大次数多项式。乘法多项式是基于格的密码学中的一种常见操作。因此,NTT是一个几个基于格的加密算法的核心组件。两个众所周知的例子是密钥封装机制Kyber和数字签名算法Dilithium。在这项工作中,我们引入了用于保护NTT免受故障攻击的新颖而有效的方法。该新对策基于多项式评估和插值。我们证明了它的错误检测能力,计算出所需的额外的计算工作,并展示如何具体使用保护Kyber和Dilithium的NTT免受故障注入攻击。最后,我们提供了建议的具体实施结果基于资源约束ARM Cortex-M4微控制器的新技术,例如,当适用于帝力。
Robin Frot和Daniel Zentai
在本文中,我们提出了一种针对使用小密钥的search-LWE实例的新攻击。该方法包括将公钥提升到$\mathbb Z$,并找到公钥除以模$a$的良好丢番图近似值。这是使用晶格约简算法完成的。所考虑的晶格和所需的近似质量与已知的针对小密钥的决策LWE攻击类似。然而,我们不需要深入分析约简算法(任何给出足够小向量的约简算法对我们来说都足够了),我们的方法直接解决了搜索问题,这比决策问题更难。
用超定义二次方程组模拟密码:在星期五、视觉、RAIN和饼干中的应用
刘福康、穆罕默德·马佐恩和威利·迈耶
众所周知,方程组在定义过高时更容易求解。在这项工作中,我们研究了如何过度定义方程组来描述面向算术(AO)的密码Friday、Vision和RAIN,以及在后量子签名方案Biscuit中使用的$mathbb F{2^{ell}$上的一个特殊的二次方程组。我们的方法受到了Courtois-Pieprzyk和Murphy-Robshaw方法的启发,分别用$mathbb F_2$和$mathbbF{2^8}$上的二次方程的超定义系统来建模AES。然而,与Murphy-Robshaw方法相比,我们的方法更加精细和简化,因为它可以充分利用Friday和Vision中使用的低阶$mathbb F_2$线性化仿射多项式,并且可以用我们的方法清晰地描述$mathbbF_2^{ell}$上的超定义方程组。对于RAIN,我们转而考虑二次布尔方程,而不是大型有限域上的方程$\mathbb F{2^{ell}}$。具体来说,我们证明了RAIN的特殊结构允许我们建立比仅使用Courtois-Pieprzyk方法获得的方程更具线性独立性的二次布尔方程。此外,我们进一步证明,饼干(NIST PQC第一轮附加签名)中潜在的密钥恢复问题也可以通过求解$mathbb F{2^{ell}}$上的一个非常高估的二次方程组来描述。缺点是,为这些密码构造的二次方程组不能被视为半正则的,这使得Gröbner基攻击的复杂性难以上界。然而,这种新的建模方法可以显著提高针对这些密码的Gröbner基攻击复杂性的下限,即我们认为求解与下限相同规模的二次方程随机系统的复杂性。如何根据我们的建模方法更好地估计对这些密码的Gröbner基攻击的上下界是一个悬而未决的问题。
SmartBean:透明、具体有效的多项式承诺方案,具有对数验证和在任何组上运行的通信成本
弗兰克·Y.C.卢
我们引入了一个新的、具体有效的、透明的多项式承诺方案,该方案具有对数验证时间和通信开销,可以在任何组上运行。现有的基于组的多项式承诺方案必须使用效率较低的组,例如未知顺序的类组或基于配对的组,以实现透明性(无可信设置),这使得在实践中采用它们的成本很高。 我们提供了第一个可以在任何群上运行的基于群的多项式承诺方案。它不依赖昂贵的配对操作,也不需要未知阶的类组来实现透明性,同时仍然提供对数验证器时间和通信成本。 我们工作的证明程序工作主要由$4n,\mathbb{G}$多指数控制,验证程序工作主要是由4个log$n,\mathbb{G}$指数控制,通信成本是4 log$n。由于我们的协议可以在Curve25519等快速组上运行,因此可以使用Pippenger算法轻松加速多指数运算。我们作品的具体表现几乎在各个方面都比目前的艺术水平有了显著的提高。
欧文·沃恩
我们提出了一种新的协议,用于跨区块链发布和传输令牌,而无需可信的第三方或跨链桥。在我们的方案中,区块链仅用于双重支出保护,而代币转让的授权是在链外进行的。由于我们方法的普遍性,它几乎适用于所有区块链设置。它可以通过引入模拟UTXO属性的智能合约,在UTXO区块链(如比特币)和基于账户的区块链(例如以太坊)上立即实现,无需修改。我们提供了在比特币上发布的NFT的概念验证实现,该NFT传输到以太坊,然后再传输回比特币。我们的新方法意味着用户在发放和转让代币时不再需要锁定在一个区块链中。
Kyungbae Jang、Yujin Oh和Hwajeong Seo
随着量子计算的发展,人们进行了广泛的研究,以发现量子在密码学领域的优势。将量子算法与经典密码分析方法(如差分密码分析和线性密码分析)相结合,有可能降低复杂性。本文提出了一种用于差分密码分析的量子差分发现电路。在我们的量子电路中,明文和输入差都处于叠加状态。实际上,虽然我们的方法无法通过量子计算实现直接加速,但它依靠叠加态的量子概率提供了不同的视角。对于量子模拟,在给定有限数量的量子比特的情况下,我们通过实现Toy-ASCON量子电路来模拟我们的量子电路。
哈克·贝内特和姜敏泰温
通过将线性纠错码的变体与其他离散结构(图、格和拟阵)上的同构问题联系起来,我们研究了线性纠错代码上的代码等价问题的复杂性。我们的主要结果是从图同构问题到任意域$\mathbb{F}$上的线性码等价问题的细粒度约简,以及从任意域$\ mathbb上的线性代码等价问题的约简{F} (p)格同构问题的素数,多项式有界阶$p$。这两种减少都是简单而自然的。我们还给出了代码等价问题的变量之间的约简,并研究了代码同构问题与线性拟阵之间的关系。
或者是Keret、Ron D.Rothblum和Prashant Nalini Vasudevan
Mu等人(Eurocrypt,2024)最近的一系列工作表明,承认非交互式统计零知识证明(NISZK)的每个问题都有一个有效的零知识批量验证协议。也就是说,一个NISZK协议,用于证明$x_1、\dots、x_k\in\Pi$与只使用$k$进行多项式缩放的通信。这一行的一个警告是,证明程序以指数时间运行,而对于NP问题,很自然希望获得双重有效的证明——也就是说,在给定$k$NP见证人的情况下,证明程序在多项式时间运行。在这项工作中,我们展示了$NISZK\cap UP$中的每个问题都有一个具有通信$poly(n,\log(k))$和$poly。证明程序在$poly(n,k)$允许访问$k$UP证人的时间内运行。这里$n$表示每个单独输入的长度,UP是NP关系的子类,其中YES实例具有唯一的见证人。这一结果为文献中的各种具体和中心密码问题产生了双重高效的统计零知识批验证协议。
贾斯帕尔·辛格、于伟和瓦西里斯·齐卡斯
私有信息检索(PIR)协议允许客户端从持有公共数据库(大小为$n$)的单个或多个服务器获取任何条目,同时确保没有任何服务器了解有关客户端查询的任何信息。PIR的初始工作重点是降低PIR方案的通信复杂性。然而,标准PIR协议在涉及大型数据库的应用程序中通常是不切实际的,因为其固有的服务器端计算复杂性很大,至少在数据库大小上是线性的。因此,一系列研究集中于考虑可实现改进服务器复杂性的替代PIR模型。从Corrigan-Gibbs和Kogan的工作开始(Eurocrypt 2020),带有客户预评价的私人信息检索模型就受到了很多关注。在此模型中,客户端在脱机阶段与两台服务器交互,并存储本地状态,在联机阶段使用该状态执行PIR查询。该模型中的构造实现了在线客户机/服务器计算和数据库大小的次线性带宽,代价是一次性昂贵的离线阶段。迄今为止,该模型中的所有已知构造都基于对称密钥原语或更强的公钥假设,如Decisional Diffie-Hellman(DDH)和Learning with Error(LWE)。这项工作启动了无条件PIR与客户端预评估的研究——我们避免使用任何密码假设。我们为$2t$服务器(其中$t\in[2,\log_2n/2]$)提出了一个新的PIR协议,阈值为1,其中客户端和服务器在线计算为$\widetilde{O}(\sqrt{n})$($\wide tilde{0}(.)$表示法隐藏了$\textsf{poly}\log$因子),根据密码假设匹配其他工作的计算成本。客户端存储和在线通信的复杂性分别为$widetilde{O}(n^{0.5+1/2t})$和$widetelde{O{(n_^{1/2})$。与以前的工作相比,我们的带有客户端预处理协议的PIR还有一个非常具体有效的客户端/服务器在线计算阶段,与较慢数量级的加密操作相比,该阶段主要由异或操作控制。作为我们构造的一个构建块,我们引入了一个新的信息理论原语,称为\textit{private multi-pultiable random set}(\pprs),它可能具有独立的意义。这个新的原语可以看作是私有可删伪随机集的推广,它是以前PIR工作中使用的带有客户端预处理的关键密码构建块。
迈克尔·斯科特
形状素数模通常被认为用于椭圆曲线和基于等值线的加密,以实现更快的模约简。在这里,我们重点讨论了所建议的最常见的形状素数选择,即伪梅森素数、广义梅森素数和蒙哥马利素数。我们考虑如何最好地利用这些形状以获得最大效率,并提供一个开源工具来自动生成、测试和计时高级语言有限域代码。接下来,我们考虑用汇编语言编写的实现可以获得的优势,这些实现利用特殊指令、SIMD硬件(如果有)以及正在实现的算法的特殊性。
基于二维等值线的理想到等值线算法及其在SQI设计中的应用
小野浩史和中川浩平
Deuring对应是超奇异椭圆曲线和四元数阶之间的对应。在这种对应关系下,椭圆曲线之间的等值对应于四元数理想。这种对应关系在基于等代的密码学中起着重要作用,已经提出了几种计算与四元数理想对应的等代的算法(理想到等代算法)。特别是,SQIsign是一个基于Deuring对应的签名方案,并使用了一种理想的对等算法。在本文中,我们提出了一种新的理想到等基因算法,该算法使用了$2$维的等基因。我们的算法基于Kani的可约性定理,该定理给出了维数$1$和$2$的等值线之间的联系。通过对一个小的奇数整数$g$使用形式为$2^fg-1$的基域的特征$p$,我们的算法在$\mathbb中的运算中只对$2$-同构和$(2,2)$-同构有效{F}(F)_{p^2}$。我们将我们的算法应用于SQIsign,并将新算法的效率与现有算法进行了比较。我们的分析表明,在NIST安全级别为1的情况下,我们算法中的密钥生成和签名速度至少是现有算法的两倍。这一优势在更高的安全级别上变得更加显著。此外,我们的算法还提高了SQI签名中验证的效率。
测量-回放-提取:量子随机Oracle模型中单向隐藏和CCA安全性的更严格证明
葛江霞、廖鹤鸣、薛睿
一条通往隐藏的道路(O2H)定理首先由Unruh(J ACM 2015)给出,然后由Ambainis等人(CRYPTO 2019)重申,是解决量子随机预言模型(QROM)中重编程问题的关键技术。它提供了一个上限$d\cdot\sqrt{\epsilon}$来表示区分器的优势,其中$d$是查询深度,$\epsilon$表示单向攻击者的优势。后来,为了获得更紧的上界,Kuchta等人(EUROCRYPT 2020)提出了测量-回风-测量(MRM)技术,然后证明了测量-回归-测量O2H(MRM-O2H)定理,该定理提供了上界$d\cdot\epsilon$。他们还提出了一个悬而未决的问题:我们能否将他们的MRM技术与Ambainis等人的半经典预言技术(CRYPTO 2019)或Zhandry的压缩预言技术(CLYPTO 2018)结合起来,以证明一个新的O2H定理,其上界甚至比$d\cdot\epsilon$更紧?在本文中,我们对上述问题给出了肯定的回答。我们将MRM技术与半经典预言技术相结合,提出了一种新的技术,称为测量回放提取(MRE)。利用MRE技术,我们证明了度量回风提取O2H(MRE-O2H)定理,它提供了上界$\sqrt{d}\cdot\epsilon$。作为MRE-O2H定理的一个重要应用,对于Hofheinz等人(TCC 2017)提出的$FO^{cancel{bot}$、$FO_m^{cance{bot{}$、$FO^{botneneneep$和$FO_m ^bot$,即Fujisaki-Okamoto变换的密钥封装机制(KEM)变体,我们在QROM中证明了以下结果:它们的IND-CCA安全性可以简化为基础公钥加密(PKE)方案的IND-CPA安全性,而不会损失平方优势。特别是,与Kuchta等人(EUROCRYPT 2020)给出的$FO^{\cancel{\bot}}$的IND-CCA证明相比,我们去掉了内射性假设,具有更严格的安全界限。在假设基础PKE方案是唯一随机可恢复的情况下,我们首次证明了它们的IND-CCA安全性可以简化为基础PKE体制的OW-CPA安全性,而不会损失平方优势。
穆昌瑞(Changrui Mu)和普拉珊·纳里尼·瓦苏提凡(Prashant Nalini Vasudevan)
在实例交互证明(IHIP)[Beaver et al.CRYPTO 90]中,具有_private_输入x的高效验证器与无界证明程序交互,以确定x是否包含在语言L中。除了完整性和稳健性之外,instance-hiding属性要求证明程序在交互过程中不应该了解任何关于x的信息。此类证明系统捕获了自然隐私属性,并可被视为对随机编码的影响概念的概括[Ishai等人,FOCS 00,Applebaum等人,FOCS04,Agrawal等人,ICALP 15],以及零知识证明的对应物[Goldwasser等人,STOC 89]。我们研究了这种实例证明的性质和威力,并展示了以下内容:1.任何带有IHIP的语言都包含在AM/poly和coAM/poly。2.如果平均大小写硬语言具有IHIP,则存在单向函数。3.有一种语言具有IHIP,但没有SZK证明。4.IHIP在与任何有效计算函数组合时关闭。我们进一步研究了一个更强的IHIP版本(我们称之为强IHIP),在该版本中可以有效地模拟诚实证明人的观点。因此,我们获得了上述部分的更强版本:5.AM和coAM中包含任何具有强IHIP的语言。6.如果最坏情况硬语言具有强IHIP,则存在单向函数。
Gal Horowitz、Eyal Ronen和Yuval Yarom
在过去的二十年里,微体系结构侧通道一直是开发新攻击技术、利用它们攻击各类目标和设计缓解措施的大量研究的重点。一个工作重点是提高攻击速度,实现更高级别的时间分辨率,使攻击者能够学习细粒度信息。这一系列工作中最新添加的是Prime+Scope[CCS'21],它只需要对一级缓存进行一次访问,以确认缓存集中没有受害者活动。虽然Prime+Scope攻击比以前的攻击速度快得多,但其速度仍比缓存访问慢一个数量级。在这项工作中,我们着手缩小这一差距。我们借鉴了微体系结构怪异门研究中的技术,这是一种利用瞬态执行对缓存状态执行任意计算的软件构造。我们设计了Spec-o-Scope门,这是一个新的怪异门,可以快速连续执行10个缓存探测,这是我们同名攻击的基础。与先前最先进的Prime+Scope相比,我们的Spec-o-Scope攻击在时间分辨率上实现了一个数量级的改进,将测量时间从约70个周期减少到仅5个周期,仅比一级缓存访问多一个周期。我们通过实验验证了我们的攻击能够以5个周期的分辨率检测时间差异。最后,使用我们的Spec-o-Scope攻击,我们能够在未经修改的基于AES S-box的实现上显示第一次微体系结构侧通道攻击,该实现使用通用CPU功能,不需要操作操作系统的调度程序。
亚科利·阿穆苏·格努(Yackolley Amoussou-Guenou)、莱昂内尔·贝尔特兰多(Lionel Beltrando)、莫里斯·赫利希(Maurice Herlihy)和玛丽亚·波托普·布图卡鲁(Maria Potop-Butucaru)
拜占庭可靠广播是分布式系统中最流行的通信原语之一。拜占庭式可靠广播确保了即使某些进程(可能包括发起程序)是拜占庭的,进程也同意从发起程序传递消息。在异步设置中,自从Bracha[Bracha87]的杰出工作以来,众所周知,如果$n\geq 3t+1$是拜占庭进程数量的上限,那么拜占庭可靠广播可以确定地实现。在这里,我们研究的是拜占庭可靠广播(Byzantine Reliable Broadcast),即当进程配备了可信执行环境(TEE)、专用软件或硬件以防止模棱两可。我们的贡献是双重的。首先,我们表明,尽管人们普遍认为,当每个进程都配备了TEE时,Bracha的算法仍然需要$n\geq3t+1$。其次,我们提出了一种新的算法,该算法使用单个TEE(在发起方)实现拜占庭可靠异步广播,使用$n\geq 2t+1$。
SQI质心:具有非光滑激发等基因的SQISignHD的维度2变体
马克斯·杜帕克和塔科·鲍里斯·福奥萨
我们引入了基于Deuring对应和Kani引理的量子后数字签名方案SQIPrime。与SQISign尤其是SQISignHD的前身相比,SQIPrime进一步扩展了高维等基因的使用,这些高维等位基因已经在SQISgnHD的验证中使用,包括密钥生成和承诺。在这样做时,它不再依赖于平滑度等基因(维度1)。SQIPrime使用形式为$p=2^\alpha f-1$的素数进行运算,而SQISignHD使用SIDH素数。SQIPrime中最有趣的新奇之处是使用非光滑度等基因作为挑战等基因。事实上,在SQISign族识别方案中,挑战等值线是由验证者计算的,验证者不具备计算大非光滑度等值线的能力。为了克服这个障碍,验证器对挑战等值线的内核进行采样,并通过验证器完成计算该等值线的任务。对响应进行修改,使验证者可以在验证SQISign系列中的常见响应的基础上,检查验证程序是否正确计算了他的质询等基因。我们描述了SQIPrime的两个变体:SQIPrise4D,它使用维度4等值线来表示响应等值线,SQIPrine2D,它仅使用维度2等值线来代表响应等值线。因此,与SQIPrice4D和SQISignHD相比,它更有效。
通过Chow参数逼近减小加权门限秘密共享方案的共享大小
Oriol Farràs和Miquel Guiot
秘密共享方案是一种密码原语,允许经销商在一组各方之间共享秘密,以便只有其中的授权子集才能恢复。该方案的访问结构是授权子集家族。在加权门限接入结构中,每一方根据其重要性分配一个权重,授权子集是指其权重之和至少等于门限值的子集。对于这些访问结构,最著名的秘密共享方案的共享大小要么在权重上是线性的,要么在参与方数量上是拟多项式的,这通常会导致长共享。在某些情况下,绕过此效率问题的一种方法是用另一种可以容纳更高效方案的访问结构来近似访问结构。这项工作致力于解决这个策略带来的公开问题:在效率和近似精度之间找到一个折衷的秘密共享方案。我们提出了一种方法来近似其他允许小份额方案的加权门限访问结构。该方法基于De等人开发的Chow参数近似技术【ACM期刊,2014年】。我们的方法提供了共享大小为$n^{1+o(1)}$的秘密共享方案,其中$n$是参与方的数量,其访问结构与原始结构接近。也就是说,在这种近似下,对于几乎所有的当事方子集,被授权与否的条件都得到了保留。此外,应用Applebaum等人[STOC,2023]关于计算秘密共享方案的最新结果,我们表明存在安全性基于RSA假设且共享大小在参与方数量上是多对数的计算秘密共享机制。
SQIsign2D-East:一种新的基于二维等值线的签名方案
中川浩平和小野浩史
基于等基因的密码学是一种密码方案,其安全性基于一个称为等基因问题的数学问题的难易程度,并作为后量子密码的候选方案之一而备受关注。一种具有代表性的基于等基因的加密是一种称为SQIsign的签名方案,该方案已提交给NIST PQC标准化竞赛。SQIsign由于其非常短的签名和密钥大小在NIST PQC标准化候选中引起了广泛关注。最近,人们提出了许多使用高维等位基因的新方案。其中,名为SQIsignHD的签名方案具有比SQIsgn更短的签名大小。然而,签名验证需要进行四维等值计算。在本文中,我们提出了一种新的签名方案SQIsign2D-East,它只需要二维等值计算进行验证,从而降低了验证的计算成本。首先,我们推广了一种称为RandIsogImg的算法,该算法计算非光滑度的随机等值线。然后,利用这个广义RandIsogImg构造了一个新的签名方案SQIsign2D-East。
安德烈亚·亚历山德鲁(Andrea B.Alexandru)、朱利安·洛斯(Julian Loss)、查拉兰普斯·帕帕曼托(Charalampos Papamanthou)、乔戈斯·齐莫斯(Giorgos Tsimos)和贝内迪克特·瓦格纳
拜占庭广播是分布式计算的基本问题之一。它的许多实际应用,从多方计算到区块链的共识机制,都需要越来越弱的信任假设,以及越来越多的用户$n$的可伸缩性。这排除了在$n$中以线性轮数运行或依赖于可信设置要求的现有解决方案。本文针对不诚实多数设置,提出了第一个次线性轮的无信任拜占庭广播协议。与以前的次线性循环协议不同,我们的协议既不假设存在可信的经销商,该经销商诚实地向各方发布密钥和相关的随机字符串,也不假设存在随机预言。相反,我们提出了一种解决方案,其设置仅限于非结构化统一引用字符串和普通公钥基础设施(也称为公告牌PKI)。我们的广播协议建立在一个适度分级广播协议之上,各方可以使用该协议就共享随机字符串达成弱协议。使用这些字符串,我们可以以无偏见的方式运行基于委员会的拜占庭协议,类似于Chan等人(PKC 2020)的协议,该协议以次线性的轮数终止。为此,我们提出了一种新的委员会选举结构,它既不依赖于随机预言机,也不依赖于可信的设置,而是使用NIZK和时间锁定谜题。我们的协议能够抵御自适应对手,后者会腐蚀任何固定比例的参与方。
较弱假设下的基于时间的密码术:随机信标、延迟函数等
达米亚诺·阿布拉姆、劳伦斯·罗伊和马克·西姆金
某些计算天生就需要一些连续时间的假设已经成为密码学的强大工具。它允许在分布式协议中提供安全性和活性保证,而这在经典的硬性假设下是不可能实现的。不幸的是,基于时间的密码学领域的许多构造都是基于新的且理解不足的硬假设,这些假设往往经不起时间的考验(参见Leurent等人2023,Peikert&Tang 2023)。在这项工作中,我们在几个方面取得了进展。我们形式化地定义了延迟函数的概念,并提出了一种基于最小假设的延迟函数构造方法。我们表明,这些函数与满足某些效率标准的经典密码对象相结合,将允许构造延迟加密,否则,已知延迟加密只能基于一个新的关于等基因的硬假设存在。我们正式定义了在区块链上下文中使用的随机信标,并且我们表明(线性同态)时间锁谜题允许有效地构建它们。我们的工作将基于时间的密码学置于更坚实的理论基础上,从更简单的假设中提供了新的构造,并为构建延迟加密开辟了新的途径。
丹尼斯·菲尔索夫和本杰明·利夫希茨
在零知识证明的背景下验证验证器是确保零知识生态系统长期完整性的重要组成部分。这对于零知识汇总和ZK的其他工业应用都至关重要。除了进一步最小化所需的信任和减少可信计算基础(TCB)之外,拥有一个经过验证的验证器还为潜在的不信任方的分散证明生成打开了大门。我们概述了一个研究计划,并证明需要在ZK和正式验证研究的交叉点进行更多的工作。
Youngjin Bae、Jung Hee Cheon、Jaehyung Kim和Damien Stehlé
Cheon-Kim-Kim-Song(CKKS)全同态加密方案旨在有效地对加密状态下的实数进行计算。最近,Drucker等人[J.Cryptol.]提出了一种有效的策略,以黑盒方式使用CKKS对二进制数据进行计算。在这项工作中,我们介绍了几种专门为密文编码二进制数据设计的CKKS引导算法。至关重要的是,新的CKKS引导算法能够引导包含二进制数据的密文,这些密文位于最重要的位。首先,这可以减少引导操作中使用的模块,为非引导操作节省更大的模块预算份额。特别是,我们首次获得环度$2^{14}$的全时隙引导。其次,密文格式与DM/CGGI全同态加密方案中使用的格式兼容。有趣的是,我们可以将位的CKKS自举算法与Bae等人的快速环封装技术相结合。这就产生了一种新的DM/CGGI自举算法,当同时执行的自举数不到数百时,该算法的性能优于最先进的方法。
Guan Ziyi、Artur Riazanov和袁伟强
可验证延迟函数(VDF)是一种密码原语,它需要很长时间进行计算,但会产生一个有效且可公开验证的唯一输出。Mahmoody、Smith和Wu(ICALP 2020)证明了在随机预言机模型中不存在同时满足完全完全性和自适应完全唯一性的VDF。此外,Ephraim、Freitag、Komargodski和Pass(EUROCRYPT 2020)在重复平方假设下的随机预言机模型中构建了一个具有完全完整性和计算唯一性的VDF,与完全唯一性相比,这是一个弱得多的保证。在这项工作中,我们通过证明在纯随机预言模型中(没有额外的计算假设)无法构造具有不完全完备性和非自适应计算唯一性的VDF,从而缩小了现有构造和已知下界之间的差距。
Ashrujit Ghoshal、Baitian Li、Yaohua Ma、Chenxin Dai和Elaine Shi
我们提出了一个新的统一框架来构建多服务器,信息理论私有信息检索(PIR)方案它利用全局预处理来实现每个查询的次线性计算。尽管之前有几次尝试,但我们对PIR方案的理解在全局预处理模型中仍然存在局限性,并且到目前为止,在广阔的设计空间中,我们只知道几个稀疏的点。有了新的统一框架,我们可以概括…的结果Beimel、Ishai和Malkin的参数范围更广,因此在带宽和计算之间实现折衷。具体来说,对于任何常数$S>1$,我们可以得到一个$S$-server方案,其带宽消耗小到$n^{1/(S+1)+\epsilon}$,同时在$n^\delta$范围内实现对(0,1)$中某个常数$delta$的计算。此外,我们可以得到一个具有多对数带宽和计算能力的方案,只需要多对数个服务器。
Ky Nguyen、David Pointcheval和Robert Schädlich
分散式多客户端功能加密(DMCFE)将基本功能加密扩展到相互不信任的多个客户端。他们可以独立加密多个明文输入,以对嵌入在函数解密密钥(由多个参数输入定义)中的函数进行求值。它们控制这些函数,因为它们都必须有助于生成功能解密密钥。标签可以用于密文和密钥中,以指定可以组合在一起的输入。与任何加密方案一样,DMCFE提供明文的隐私。但与功能解密密钥相关联的功能可能也很敏感(例如机器学习中的模型)。因此引入了函数定义属性,以额外保护解密过程中评估的函数。在本文中,我们提供了新的证明技术来分析一种新的内部产品函数定义DMCFE的具体构造,该构造在随机预言模型中具有强大的安全保证:对手可以自适应地查询多个挑战密文和多个挑战密钥,密文查询中相同消息标记的无限重复和密钥查询中相同密钥标记的固定多项式大重复次数,允许秘密加密密钥的静态损坏。先前的结构仅在选择性环境中被证明是安全的。
基于SIS问题的随机Feistel密码及其对差分密码分析抵抗力的统计评估
Yu Morishima和Masahiro Kaminaga
基于健壮数学框架的可证明安全性是密码学安全评估的黄金标准。针对公钥密码体制,研究了几种可证明的安全密码体制。然而,可证明安全的对称密钥加密技术却很少受到关注。虽然已知的可证明安全的对称密钥密码系统基于因子分解和离散对数问题的难度,但它们不仅比传统的分组密码慢,而且可以被量子计算机破解。我们的研究旨在通过基于短整数解问题(SIS)提出一种新的可证明安全的Feistel密码,该密码使用抗碰撞散列函数。即使密码原语对量子算法有抵抗力,也必须确定密码是否能够抵抗差分密码分析,这是对对称密钥密码系统的一种基本而强大的攻击。在本文中,我们通过推导最大差分概率的上界,证明了所提出的密码族对差分密码分析是安全的。此外,我们证明了短块大小的差分密码分析的潜在成功,并基于差分特征概率统计评估了密码实例的平均抵抗力。该方法使用折叠二维正态分布近似S盒输出,并使用广义极值分布。本文首先介绍了这种评估方法,它是研究格矩阵微分特性和安全轮数的基础。本研究是基于SIS的格矩阵对分组密码进行差分密码分析的基础研究。
配对和可信任一次性程序中签名向量摘要的可提取见证加密
索拉·苏加米
见证加密(WE)允许在NP问题下加密密文,这样任何持有该问题有效见证人的人都可以解密密文(灵活的解密器),而无需与他人交互(非交互)。然而,现有方案要么不切实际,要么只实现这些WE功能的一部分。我们提出了一种新的We方案,1)基于双线性映射(如配对),2)实现了灵活的解密器的特性,3)仍然需要解密器与可信签名者进行通信,可信签名者仅以固定的间隔执行固定数量的计算和通信,而不管密文的数量如何。它提供了可提取的安全性,并且可以扩展到多个签名者的阈值设置,从而避免了对单个签名者的依赖。作为WE方案的一个重要应用,我们构建了一个新的一次性程序(OTP)方案,其中签名者的计算和通信成本保持不变,与要同时评估的OTP数量无关。此功能可确保可扩展的OTP评估,而不会因签名者的运营成本增加而导致签名者参与度降低或权力下放受损。
曹一波、徐世元、陈秀波、徐刚、姚小明
云存储的广泛使用迫切需要搜索和共享数据。使用关键字搜索的公钥认证加密(PAEKS)允许从加密数据中检索,同时抵抗内部关键字猜测攻击(IKGA)。大多数PAEKS方案仅适用于单接收机模型,显示出非常有限的适用性。为了解决这一问题,人们研究了使用关键字搜索的广播认证加密(BAEKS)来实现多接收器密文搜索。但据我们所知,现有的BAEKS方案容易受到量子计算攻击。在本文中,我们提出了基于格的BAEKS,这是第一个具有关键字搜索的量子后广播认证加密,在多接收器模型中提供了强大的量子安全性。具体来说,我们利用几种格型抽样算法和拒绝抽样技术来构造我们的BAEKS方案。此外,我们结合最小覆盖集技术和格基扩展算法构造了一个增强版本,即FS-BAEKS。此外,我们对我们的方案进行了严格的安全性分析。最终,当接收器的数量分别为6个时,我们的BAEKS方案中BAEKS和Test算法的最佳计算开销比现有技术快约12-x和402-x,这对于云存储系统来说是实用的。
安德烈亚·巴索、卢卡·德费奥、皮尔里克·达托伊斯、安东尼·勒鲁、卢西亚诺·梅诺、贾科莫·波普、达米安·罗伯特和本杰明·韦索洛夫斯基
我们引入了SQIsign2D-West,它是使用二维等基因表示的SQIsgn的变体。SQIsignHD是第一个使用高维等基因表示的SQIsgn变体。它的八维变体旨在提供可证明的安全性,但被认为是不现实的。它的四维变体着眼于效率,与SQIsign相比,签名时间明显更快,但由于四维表示的复杂性,验证速度较慢。其作者评论了通过使用二维表示来改进SQIsign的明显困难。在这项工作中,我们引入了新的算法工具,使二维表示成为可行的替代方案。这导致了一个签名方案,其大小与SQIsignHD相当,签名速度略慢于SQIsgnHD,但仍远快于SQI签名,以及对任何已知SQI变体的最快验证。我们在不影响安全性证明的情况下实现了这一点:SQIsign2D-West背后的假设与SQIsgnHD的八维变体类似。此外,与SQIsignHD一样,SQIsgn2D-最有利于扩展到高安全级别具体来说,对于NIST I级,我们使用基于冰湖体系结构可用内部函数的优化算法,实现了80 ms的签名时间和4.5 ms的验证时间。对于NIST V级,我们的签名时间为470 ms,验证时间为31 ms。
阿隆尼·科恩(Aloni Cohen)、亚历山大·胡佛(Alexander Hoover)和盖布·勋巴赫(Gabe Schoenbach)
零位水印语言模型生成的文本与底层模型的文本无法区分,但可以使用密钥检测为机器生成的文本。不幸的是,仅仅检测AI生成的垃圾邮件(比如,带有水印的垃圾邮件)可能无法防止未来的滥用。如果我们可以另外将文本追踪到垃圾邮件发送者的API令牌或帐户,我们就可以切断他们的访问权限或采取法律行动。我们引入了多用户水印,允许将模型生成的文本跟踪到单个用户或串通用户组。我们从不可检测的零位水印方案中构造了多用户水印方案。重要的是,我们的方案同时提供了零位和多用户保证:检测与原始方案一样短的片段,并将较长的片段跟踪到个人。在此过程中,我们给出了一个将长消息嵌入到生成文本中的水印方案的一般构造。我们是语言模型水印方案之间的第一个黑盒缩减。黑盒减少的一个主要挑战是缺乏一个统一的健壮性抽象——即使在编辑后也可以检测到标记的文本。根据对语言模型输出和用户编辑的定制要求,现有的作品提供了无与伦比的健壮性保证。我们引入了一种新的抽象来克服这一挑战,称为AEB-robusiness。AEB-鲁棒性提供了只要编辑的文本“接近足够的块”模型生成的输出,就可以检测到水印。指定稳健性条件相当于定义近似值、足够值和块。使用我们的新抽象,我们以黑盒方式将消息嵌入和多用户方案的健壮性与底层零位方案的健健性联系起来。以前的工作只保证对单个提示生成的单个文本的鲁棒性,而我们的方案对自适应提示(一种更强大、更自然的对抗模型)具有鲁棒性。
John Baena、Daniel Cabarcas、Sharwan K.Tiwari、Javier Verbel和Luis Villota
多元公钥密码术(MPKC)是构建抗量子签名方案的最有前途的替代方案之一,正如NIST对额外的后量子签名方案的呼吁所证明的那样。MPKC中的主要假设是多元二次(MQ)问题的硬度,该问题寻求有限域上二次多项式系统的公根。尽管杂交算法是解决小域上MQ问题的最有效算法之一,但其复杂性分析却站不住脚。特别是,它的工作参数和假设条件尚不明确。在这项工作中,我们对任何有限域上的杂交算法进行了严格的分析。我们对先前文献中提出的一系列容许参数进行了完整的解释,并明确说明了其有效性所需的正则性假设。此外,我们还证明了序列并不能说明全部情况,因此我们提出了杂交有效的一个附加条件。此外,我们定义并刻画了小域上系统的正则性概念,这是可容许参数序列的主要组成部分之一。
索尼娅·贝莱德(Sonia Belaid)、雅各布·费尔德凯勒(Jakob Feldtkeller
在我们高度数字化的世界中,对手不局限于纯粹的数字攻击,而是可以监视或影响目标计算设备的物理执行环境。这种副通道或错误注入分析对安全的加密实现构成了重大威胁。因此,在分析密码实现的安全性时,除了默认的黑盒模型外,还必须考虑其他对抗能力。对于侧信道分析,这是通过向对手提供一些内部值的知识来完成的,而对于故障注入分析,对手的能力包括操纵一些内部值。在这项工作中,我们通过引入通用随机探测模型和通用随机故障模型来捕获任意泄漏和故障分布,以及这些模型的组合,扩展了物理攻击的概率安全模型。我们的目标是对低层物理效应进行更准确的建模。然后,我们分析了重要的属性,例如对抗性知识对故障和组合的影响,并提供了基于工具的形式化验证方法,允许对设计组件进行安全评估。这些方法是对以前实现、评估和比较的工具VERICA和IronMask的扩展。
丹尼斯·达亚尼克利和安贾·莱曼
非对称密码身份验证密钥交换(aPAKE)协议,特别是强aPAKE(saPAKE。在PAKE中,客户机和服务器协作建立一个高熵密钥,依靠先前交换的密码进行身份验证。它的一个主要特点是能够抵抗离线和预计算(针对saPAKE)攻击。OPAQUE以及大多数其他aPAKE协议都是在单用户设置中设计和分析的,即只对单个用户与服务器交互进行建模。通过UC的组合框架,推测了实际多用户设置的安全性。由于任何现实世界的aPAKE实例化都需要满足多个用户的需要,这就带来了一个危险的缺口,在这个缺口中,开发人员需要以符合UC的方式安全地扩展单用户协议。在这项工作中,我们扩展了aPAKE定义,以直接对多用户设置进行建模,并明确捕获服务器泄露对用户帐户的影响。我们表明,当前标准化的OPAQUE多用户版本可能无法提供预期的安全性,因为一旦系统中一个用户的文件受损,它就不安全,无法抵御离线攻击。这是因为在不同用户之间使用共享状态,这违反了UC组合框架。然而,我们表明,标准化草案中引入的另一项更改也涉及共享状态,但这不会影响安全性。当在多客户端设置中扩展aPAKE安全性时,我们注意到,广泛使用的安全性定义捕获的安全性保证远远低于许多协议提供的安全性保障。基本上,aPAKE定义假定服务器存储未加密的密码,而一些协议明确使用salt来防止预计算攻击。因此,我们提出了一个定义框架,用于捕获不同的盐分方法,从而表明aPAKE和saPAKE之间的安全差距可以小于预期。
Barbara Gigerl、Florian Mendel、Martin Schläffer和Robert Primas
在本文中,我们介绍了认证密码Ascon的有效保护软件实现,Ascon是最近宣布的NIST轻量级密码学标准化过程的获胜者。我们的实现针对二阶功率分析攻击的理论和实际安全性。首先,我们对之前提出的Keccak S-box的一阶掩蔽提出了一个有效的二阶扩展,该扩展不需要在线随机性。扩展本身的灵感来自于先前提出的AND-XOR结构的二阶掩蔽。然后,我们讨论了在微处理器上执行屏蔽软件期间进一步提高性能并减少意外合并共享的可能性的实现技巧。这使我们能够在实践中以低性能开销保留屏蔽的理论保护顺序,我们也通过ARM微处理器上的TVLA进行了验证。我们的设计的形式正确性还可以使用RISC-V IBEX内核的网络列表上的Coco进行验证。我们在32位ARM和RISC-V微处理器平台上对我们的屏蔽软件设计进行基准测试。在这两个平台上,当操作2或3个共享时,我们可以执行Ascon-128身份验证加密,吞吐量约为300或550个周期/字节。当使用分级实现技术时,屏蔽实现的吞吐量通常会增加到大约90个周期/字节。我们将我们的屏蔽软件实现与通用软件框架一起发布,以评估各种屏蔽加密实现的性能和副通道阻力。
艾利森·毕晓普和海德·蒂尔马齐
创建一个具有可证明保证的具有对抗弹性的Learned Bloom过滤器是一个公开的问题。我们为Learned Bloom Filter定义了一个强大的对抗模型。我们还构建了学习型Bloom过滤器的两个对抗性弹性变体,称为上城Bodega过滤器和下城BodegaFilter。我们的对抗模型扩展了Naor和Yogev为经典(即未“学习”)Bloom Filter设计的现有对抗模型,并考虑了在概率多项式时间(PPT)内运行的计算有限的对手。我们证明,如果存在伪随机排列,那么可以使用$\lambda$额外的内存位和关键路径中最多一个额外的伪随机排列来构造安全的Learned Bloom Filter。我们进一步证明,如果存在伪随机排列,那么可以用额外的$2\lambda$内存位和关键路径中最多一个额外的伪随机排列来构造高实用性的学习Bloom滤波器。最后,我们为对手选择一部分工作负载的情况构建了一个混合对抗模型。我们展示了实际场景,与此模型中的其他方法相比,使用Downtown Bodega Filter可以提供更好的性能保证。
基于阈值全同态加密的基于求和的私有分段成员身份测试
尼拉詹·柯伊拉腊(Nirajan Koirala)、乔纳森·武士塔(Jonathan Takeshita)、杰里米·史蒂文斯(Jeremy Stevens)和泰霍·荣格(Taeho Jung)
在许多实际场景中,有时客户希望检查它们保存的数据元素是否包含在分段的集合中跨越大量数据持有者。为了保护用户隐私客户的查询和数据持有者的集合应保持加密贯穿整个过程。先前在私有集合交叉点(PSI)、多方PSI(MPSI)、私有成员测试(PMT)、,并且在许多情况下,遗忘RAM(ORAM)在这种情况下都不足方式。它们要么要求数据持有者拥有明文规定的集合-文本,在聚合来自大量数据持有者泄露了有关聚会的信息持有交叉元素,或诱发高假阳性。本文介绍了Private Segmented Mem的原语-船级社测试(PSMT)。我们给出了协议的基本构造使用近似算法的阈值变量求解PSMT同态加密并展示如何克服现有的构建PSMT协议而不泄漏持有交集元素一方的信息或错误信息的挑战对大量数据持有者有利,确保IND-CPA^𝐷安全性。我们的新方法优于现有的最先进技术支持的数量方面的可伸缩性方法数据持有人。这是通过一个新的基于求和的homo实现的-morphic成员身份检查,而不是基于产品的成员身份检查以及解决技术挑战的各种新颖想法。我们的与之前仅支持约100个有效方。我们的实验评估表明该方法将数据持有者的结果聚合在92.5s内对于1024个数据持有者和2^25的集合大小,我们的方法结束了-头随着发送器数量的增加而缓慢增加。我们还将PSMT协议与其他最先进的PSI进行了比较和MPSI协议,并讨论我们在可用性方面的改进更好的隐私模型和更多的参与方
奥罗·吉列维奇
嵌入曲线是定义在素数域上的椭圆曲线,其阶数(特征)是配对友好曲线的素数子群阶数(标量域)。嵌入曲线有一个密码大小的大素数子群,但它们本身并不友好。Sanso和El Housni发布了BLS配对友好曲线的嵌入曲线族。它们的族由多项式参数化,就像配对友好曲线的族一样。然而,他们的工作并没有为KSS配对友好曲线找到嵌入式族。在本注释中,我们展示了如何将查找嵌入曲线族的问题与查找$\mathbb的最佳公式的问题联系起来{G} 1个在配对友好的曲线侧进行$subgroup成员身份测试。然后,我们应用Smith的技术和Dai、Lin、Zhao和Zhou准则,获得了KSS嵌入曲线的公式,并概述了在所有情况下解决该问题的通用算法。我们为KSS18提供了两类嵌入曲线,并给出了密码大小的示例。我们还建议BLS的备选嵌入曲线具有比Sanso等人低得多的Hamming权重,以及比快速FFT高得多的2-估值。我们特别强调了BLS12曲线,该曲线具有形成平面循环(无配对)的原始嵌入曲线,以及蒙哥马利形式的第二条(平面)嵌入曲线。像BLS12-377-BW6-761构造一样,Brezing-Weng外曲线也可能具有配对友好的2-链。所有曲线都有$j$-不变量0和一个自同态,以便在曲线一侧实现更快的算法。
同时Haar不可分辨性及其在不可克隆密码学中的应用
Prabhanjan Ananth、Fatih Kaleoglu和Henry Yuen
不可克隆加密涉及利用无克隆原则构建加密原语,否则无法经典实现。了解不可区分加密的可行性,即密钥不可区分原语之一,在平面模型中满足不可区分安全性一直是该领域的一个主要公开问题。到目前为止,现有的不可加密结构要么是量子随机预言模型,要么是基于新的猜想。我们提出了一种新的方法,通过简化为新的加密关于非局域量子态判别的问题:能有多好非通信但纠缠的玩家区分量子态的不同分布?我们称此任务为同步状态不可区分性。我们的主要技术结果表明,玩家无法区分接受独立选择的Haar随机状态的每个玩家与接受相同Haar随机态的所有玩家。我们利用这个结果展示了unconcuble的第一个结构满足不可区分安全性的加密,采用量子解密键,在普通模型中。我们还展示了单解密器的其他含义加密和抗泄漏秘密共享。
范新欣、库赫塔、西卡、徐磊
多尺度乘法(MSM)是许多零知识证明系统的核心组件之一,也是这些方案中证明生成的主要性能瓶颈。加速MSM的一个主要策略是利用预计算。在这个方向上,已经提出了几种算法(例如Pippenger和BGMW)及其变体。本文回顾了罗、傅和龚在CHES 2023上提出的基于预计算的MSM计算方法,并对其方法进行了推广。特别是,我们给出了最优桶的一般构造。这一改进带来了显著的性能改进,并通过理论分析和实验进行了验证。
Rachit Garg、George Lu、Brent Waters和David J.Wu
基于属性的加密(ABE)是公钥加密的一种推广,可以对加密数据进行细粒度访问控制。在(密文策略)ABE中,中央可信机构向用户发布属性$x$的解密密钥。反过来,密文与解密策略$\mathcal{P}$相关联。只要$\mathcal{P}(x)=1$,解密就会成功并恢复加密的消息。最近,Hohenberger、Lu、Waters和Wu(Eurocrypt 2023)引入了注册ABE的概念,这是一个没有可信中央机构的ABE方案。相反,用户生成自己的公钥/秘密密钥(就像公钥加密一样),然后向密钥管理员注册密钥(和属性)。关键策展人是一个透明且不受信任的实体。目前,最好的基于对的注册ABE方案支持单调布尔公式和先验有界用户数$L$。现有方案的一个主要限制是,它们需要一个大小为$L^2\cdot|\mathcal{U}|$的(结构化)公共引用字符串(CRS),其中$|\mathcal{U{|$是属性宇宙的大小。换言之,CRS的大小与用户数成平方关系,与属性域的大小成乘法关系。大型CRS使得这些方案在实践中成本高昂,并且仅限于少数用户和少量属性。在这项工作中,我们给出了两种在基于对的注册ABE方案中减小CRS大小的方法。首先,我们引入了一种基于无累进集的组合技术,该技术能够为同一类策略注册ABE,但CRS的大小在用户数量上是次二次的。渐近地,我们得到了一个方案,其中CRS大小与用户数$L$(即$L^{1+o(1)}$)几乎成线性关系。如果我们以更具体的效率为导向,我们可以实例化我们的框架,以获得大小为$L^{\log_23}\大约L^{1.6}$的CRS构造。例如,在一个有100000个用户的方案中,我们的方法与以前的方法相比,将CRS减少了115美元乘以$(并且不会在加密/解密时间上产生任何开销)。我们减少CRS大小的第二种方法是在论证已注册ABE方案的安全性时依赖基于分区的参数。以前的方法采用双重系统方法。使用基于分区的参数会产生一个注册的ABE方案,其中CRS的大小与属性域的大小无关。代价是生成的方案满足较弱的静态安全概念。我们减少CRS大小的技术可以组合在一起,并结合在一起,我们得到了一个基于对的注册ABE方案,该方案支持CRS大小为$L^{1+o(1)}$的单调布尔公式。值得注意的是,这是第一个基于配对的注册ABE方案,在设置期间不需要对属性域的大小施加限制。作为另一个应用,我们还展示了如何将基于无累进集的技术应用于Waters和Wu(Crypto 2022)的$\mathsf{NP}$方案的批参数(BARG),以获得具有近线性CRS的方案,而无需依赖非黑盒引导技术。
斯利姆·贝塔伊布、洛伊克·比杜克斯、维克托·戴瑟林、安德烈·埃瑟、菲利普·加博利特、穆库尔·库尔卡尼和马可·帕伦比
在这项工作中,我们基于置换核问题(PKP)的一个新变体的硬度,引入了PERK一个紧凑的数字签名方案。对于任何基于PKP的NIST I类安全方案,PERK以6 kB获得最小签名大小,同时获得具有竞争力的签名和验证时间。PERK还与一般最新技术进行了比较。为了证实这些说法,我们提供了优化的恒定时间AVX2实现、详细的性能分析和不同规模性能的权衡。从技术上讲,我们的方案基于零知识证明,遵循MPC-in-the-Head范式并采用Fiat-Shamir变换。我们提供全面的安全证明,确保随机预言模型中PERK的EUF-CMA安全。PERK的效率很大程度上源于我们对PKP变体的特殊选择,该变体允许应用Bidoux-Gaborit(C2SI 2023)提出的挑战空间放大技术。我们的第二个主要贡献是深入研究了引入的问题变量的硬度。首先,我们在问题变体的硬度和标准PKP的硬度之间建立联系。然后,我们开始深入研究解决变体的具体复杂性。我们提出了一种新的算法,它在某些参数状态下优于以前的方法。然而,我们的问题变量与标准变量的接近程度可以通过特定参数进行控制。这使我们能够通过选择参数来有效地抵御新的攻击和潜在的未来扩展,从而确保与标准PKP相比只有微小的变化。
马丁·阿尔布雷希特和乔·罗威尔
格筛是在格中寻找短向量的算法。我们介绍了两个这样的筛子的实现,在文献中称为“BGJ1”和“BDGL”,它们可以跨多个服务器扩展(成功率不同)。这类算法需要指数内存,这使得它们在筛选节点时的扩展能力受到了质疑。我们讨论了我们的架构和优化,并报告了我们方法效率的实验证据。
塞林·谢瓦利埃、吉雷克·勒布伦、安格·马蒂内利和杰罗姆·普洛特
消息层安全性(MLS)是一种安全组消息协议,它使用称为棘轮树的二进制树进行握手,以达到与组成员数量相对应的对数通信成本。这个棘轮树将用户表示为它的叶子;因此,组成员身份的任何更改都会导致添加或删除与该用户关联的叶。因此,MLS实现了我们所称的树进化机制,包括用户添加算法(确定插入新叶的位置)和树扩展过程(说明在新用户没有可用空间时如何增加树的大小)。MLS当前使用的树进化机制是-签名后,它自然会左转棘轮树。然而,就通信成本而言,这种棘轮树结构通常效率很低。此外,人们可能想知道,棘轮树中使用的二叉树是否针对MLS中握手的特性进行了优化,称为提交。因此,本文研究了如何通过同时考虑树进化机制和棘轮树的树度来提高MLS中提交的通信开销。为此,我们确定了优化其通信成本的树结构,并为用户添加和树扩展过程提出了优化算法,使其保持接近最优结构,从而使通信成本尽可能接近最优。我们还确定最适合由MLS使用的加密方案诱导的给定参数集的棘轮树度。这项研究表明,当使用经典(即前量子)密码套件时,二叉树确实是最合适的棘轮树;然而,当涉及到后量子算法时,使用三叉树代替三叉树通常会变得更有趣。我们的改进没有改变TreeKEM协议易于实施。使用与实际密码套件相对应的参数集,它们将TreeKEM的通信成本降低了5到10%。特别是,10%的增益出现在后量子设置中,此时需要优化的树演化机制和三元树,这正是由于PQ加密通信的重要带宽,协议通信成本的任何优化都受到欢迎的环境。
$\mathsf{FRAST}$:基于随机S盒的TFHE友好密码
Mingyu Cho、Woohyuk Chung、Jincheol Ha、Jooyoung Lee、Eun-Gyeol Oh和Mincheol Son
跨密码框架,也称为混合同态加密,是一种在客户端-服务器模型中将同态加密~(HE)方案与对称密码相结合的实用方法,以减少客户端的计算和通信过载。当服务器同态评估此框架中的对称密码时,需要为考虑到HE方案的特定属性的“HE友好”密码提供新的设计原理。在本文中,我们提出了一种新的TFHE友好密码,称为$\mathsf{FRAST}$,它具有基于随机S盒的TFHE友好循环函数,以最小化循环次数。通过一种称为双盲旋转的新优化技术,可以在TFHE中有效地评估$\mathsf{FRAST}$的圆函数。结合我们的新WoP-PBS方法,双盲旋转允许在$\mathsf{FRAST}$的循环函数中计算多个S-box调用,而只需一个S-box呼叫。这样,在转换框架的脱机阶段,$\mathsf{FRAST}$在TFHE密钥流评估方面的吞吐量比$\mathf{Kreyvium}$(resp.$\math2f{Elisabeth}$)高2.768$(resp.$10.57$)倍,代价是稍微大一些的通信过载。
基于FPGA的TFHE加速器的NVMe安全计算平台
大叶义弘、三木俊彦、克劳德·格雷维尔和宫原康太郎
在本文中,我们介绍了一种新的安全计算方法,通过实现一个平台,该平台利用基于NVMe的系统,并在主机端使用基于FPGA的Torus FHE加速器、SSD和中间件。我们的平台是第一个使用基于FPGA的加速器为TFHE提供完整安全计算能力的平台。我们定义了安全计算指令来使用TFHE评估14位到14位的函数,我们的中间件允许密文、密钥和安全计算程序的通信,同时通过带有元数据的NVMe命令调用安全计算程序。我们的CMux门实现具有一个优化的NTT/INTT电路,该电路通过预缩放和预转换常数多项式(如引导和专用功能钥匙开关钥匙)来消除NTT之前和INTT之后的操作。我们的性能评估表明,在门引导执行时间方面,我们的安全计算平台比基于CPU和基于GPU的平台分别高出15到120倍和2.5到3倍。此外,与基于CPU的平台相比,我们的平台在门引导执行期间的电能消耗减少了7到12倍,与基于GPU的平台相比减少了1.15到1.2倍。
改进了非相关环境中Ascon AEAD的条件立方体攻击——使用Break-Fix策略
胡凯
7轮Ascon-128和Ascon-128a AEAD上最著名的区分器使用60维立方体,其中在初始化期间,Ascon状态的第三行和第四行中的nonce位设置为相等(Rohit等人,ToSC 2021/1)。不知道如何使用此区分器来发起密钥恢复攻击。在本文中,我们使用一种称为\textit{break-fix}的针对条件立方体攻击的新策略来研究这个问题。其思想是引入稍微修改的立方体,将7轮输出位的度数增加到59以上(断点相位),然后找到将度数恢复到59的关键条件(固定相位)。利用这种思想,提出了7轮Ascon-128、Ascon-128a和Ascon-80pq的密钥恢复攻击。这些攻击比现有攻击具有更好的时间/内存复杂性,在某些情况下还改进了弱键攻击。
大卫·波因契瓦尔
通用验证是电子投票方案必须具备的。确保所有球员在整个过程中的诚实行为以及资格至关重要。然而,这不应危及个人投票的隐私,这是另一项主要要求。虽然第一个属性可以防止投票过程中的攻击,但投票的隐私应该永远保持,这就是所谓的永久隐私。普遍可验证性的一个经典方法是将一些证明与加密的选票一起添加,这需要公布后者,而资格需要选票和选民之间的联系:它绝对排除了长期隐私。另一种选择是使用完美的承诺,在此基础上发布证明,而密文则被保密以计算数字。在本文中,我们展示了如何利用最近的线性同态签名来进行所有的证明,从而实现非常有效的通用可验证程序,同时具有强大的无收据性和永久的隐私性。结果和证明公布后,隐私确实是无条件的,而证明的可靠性在代数组模型和随机预言模型中是成立的。
Rune Fiedler和Christian Janson
许多人使用诸如Signal之类的消息应用程序来行使他们的私人通信权。为了应对量子计算的出现,Signal采用了一种称为PQXDH的新初始握手协议,用于量子后保密,同时保持了经典的真实性和可否认性保证。与之前的X3DH相比,PQXDH包括KEM封装和临时密钥上的签名。在这项工作中,我们表明,由于临时密钥上的签名,PQXDH不满足与X3DH相同的可否认性保证。我们的分析依赖于KEM的明文意识,而Signal的PQXDH实现没有提供这一点。对于X3DH,由于协议的不对称性,双方(发起方和响应方)获得不同的可否认性保证。为了分析PQXDH,我们引入了一个新的密钥交换拒绝模型,该模型允许进行更精细的分析。我们的否认模型吸收了先前工作的思想,并促进了否认概念的新组合,例如在“大哥”模型中针对恶意对手的否认,即区分者知道所有密钥。我们的模型可能会引起独立的兴趣。
Ky Nguyen、Duong Hieu Phan和David Pointcheval
近年来,功能加密(FE)在多用户环境中取得了重大发展,尤其是多客户端功能加密(MCFE)。当与访问控制(如基于属性的加密(ABE))相结合时,这一挑战变得更加重要,而FE和MCFE框架实际上并未涵盖这一点。另一方面,对于复杂原语,许多工作都研究了对手的可接受性,以确保安全模型包含所有真实的攻击威胁。在本文中,将公共输入添加到FE/MCFE中,我们涵盖了许多以前的原语,尤其是基于属性的函数类。此外,我们的框架对内部产品功能具有最强的可接受性,因此它非常通用,因为它加密多个子向量,允许重复和破坏,最终还包括公钥FE和经典ABE,将MCFE的私有设置与FE和ABE的公共设置桥接起来。最后,我们提出了一个具有公共输入的MCFE,该MCFE具有一类函数,这些函数将LSSS策略的内部产品(在私有输入上)和基于属性的访问控制(在公共输入上)结合在一起。我们实现了第一个用于内部产品的AB-MCFE,具有强可接受性和自适应安全性。这也导致了内部产品的MIFE、带有LSSS密钥策略的公钥单输入内部产品FE和用于LSSS的KPABE,具有自适应安全性,而来自CRYPTO’23的Agrawal等人以前的AB-MCFE构造考虑了平均加权和的稍大功能,但仅具有选择性安全性。
赵子玉、丁金泰、杨伯阴
本文的重点是解决格问题筛选算法中的内存访问问题。我们对优化后的BGJ筛进行了深入分析(Becker-Gama-Joux 2015),我们的研究结果表明,与渐近最快的BDGL筛相比,其固有结构的存储效率显著提高(Becker Ducas-Gama-Laarhoven 2016)。具体来说,它只需要$2^{0.2075n+o(n)}$流式(非随机)主内存访问即可执行$n$维筛选。我们还提供了证据表明,这种改进的BGJ筛的时间复杂度可能为$2^{0.292n+o(n)}$,或者至少与之非常接近。实际上,它在实际可实现的所有维度上都优于BDGL筛。我们希望,这项研究将有助于解决目前关于大规模基于筛分的晶格攻击中RAM访问开销测量的争论。我们的实现也支持上述概念。事实上,我们在优化的筛选框架内提供了一种基于CPU的优化BGJ筛选高效的时间和内存实现。这种实现可以节省大约40%的RAM使用,并且至少节省$2^{4.5}与之前的4-GPU实现相比,在门计数方面的效率提高了$倍(Ducas Stevens Woerden 2021)。值得注意的是,我们使用112核服务器和大约0.87TB的RAM,在30天内成功解决了183维SVP Darmstadt挑战。以前大多数基于筛选的SVP计算都依赖于HK3筛(Herold-Kirshanova 2017),因此,这种实现可以进一步深入了解这些渐近更快的筛选算法在应用于大规模问题时的行为。此外,我们基于该实施对高级副总裁的精细成本估计表明,一些NIST PQC候选产品,如Falcon-512,不太可能达到NIST的安全要求。
Prabhanjan Ananth、Zihan Hu和Zikuan Huang
量子信息可用于实现经典方法无法实现的新型密码原语。Ananth、Poremba、Vaikuntanathan(TCC 2023)最近的一项工作重点是为Gentry、Peikert、Vaikontanathan引入的双Regev加密方案配备使用量子信息的密钥撤销功能(STOC 2008)。他们进一步表明,密钥可识别的对偶-Regev方案意味着存在完全同态加密和伪随机函数,两者都具有密钥撤销功能。不幸的是,他们只能基于新的猜想证明他们的方案的安全性,而将密钥可撤销的对偶加密的安全性建立在经过充分研究的假设基础上的问题仍然悬而未决。在这项工作中,我们解决了这个悬而未决的问题。假设具有误差的多项式学习困难度(超过亚指数模),我们证明了密钥可识别的双重里格夫加密是安全的。因此,我们首次取得了以下成果:1.密钥可识别公钥加密和密钥可识别完全同态加密,满足经典的撤销安全性,基于带错误学习的多项式硬度。之前的工作要么没有实现经典的撤销,要么是基于亚指数硬度的错误学习。2.密钥可识别伪随机函数,满足对有误差学习多项式硬度的经典撤销。以前的工作依赖于未经证实的推测。
里沙布·戈亚尔
非交互式批处理参数(BARG)允许证明程序计算单个证明$\pi$,以证明$k$\mathbf{NP}$语句$x_1、\ldots、x_{k}$的“批”的有效性。BARG的两个主要特点是简洁和稳健。简洁性表明证明大小$|\pi|$不随$k$增长;虽然稳健性声明多时间作弊证明程序不能为任何无效的语句批创建接受证据。在这项工作中,我们提出了批处理参数可变性的新概念,称为可变性批处理参数。我们的目标是重新考虑如何看待和使用BARG。传统上,BARG证明字符串$\pi$是$k$$\mathbf{NP}$wister$\omega_1、\ldots、\omega_{k}$的不可变编码。在可变BARG系统中,每个证明字符串$\pi$都是原始见证人的可变编码。因此,可变BARG捕获并支持通过批处理证明$\pi$进行计算。我们还研究了可变BARG的新隐私概念,确保可变证明隐藏了所有非平凡信息。这种可变BARG自然非常适合许多隐私敏感应用程序。我们的主要贡献可以概括为:引入可变BARG的一般概念,在BARG上识别新的非平凡可行变异类,根据标准密码假设为这些类设计满足变异隐私的可变BARGs的新构造,以及开发可变BARG在高级签名(如同态签名、可编辑签名和聚合签名)中的应用。我们的结果提高了许多此类签名系统在功能、效率、安全性或多功能性(在密码假设方面)方面的最新水平。
James Bartusek和Justin Raizes
秘密共享允许用户将一个秘密拆分为多个共享,以便在收集到一组授权的共享时(且仅当收集到一组授权的共享时)可以恢复该秘密。尽管秘密共享通常不需要任何计算难度假设,但其安全性要求对手不能收集授权的共享集。在对手可以从多次数据泄露中获益的较长时间内,这可能成为一个不切实际的假设。我们开始对带有认证删除的秘密共享进行系统研究,以实现安全性,即使是对抗最终收集授权共享集的对手。在带有认证删除的秘密共享中,(经典)秘密$s$被分割成量子共享,可以通过经销商可验证的方式销毁这些量子共享。我们提出了安全的两个自然定义。无恶意安全大致要求,如果多个非通信对手删除了足够多的共享,那么他们的组合视图中包含的有关$s$的信息可以忽略不计,即使整个受损方集构成了一个授权集。自适应安全需要$s$的隐私,以防敌方持续自适应地破坏新共享并删除以前被破坏的共享,只要被破坏的总共享数减去已删除的共享数后仍然未经授权。接下来,我们证明了这些安全定义是可以实现的:我们展示了如何构造(i)对于任何单调的访问结构,具有无符号认证删除的秘密共享方案,以及(ii)具有自适应认证删除的门限秘密共享方案。我们的第一个构造使用Bartusek和Khurana(CRYPTO 2023)的二取二秘密共享方案,并将认证删除作为构建块,而我们的第二个构造是从头开始的,需要一些新的技术思想。例如,我们显著推广了阿加瓦尔、巴图塞克、库拉纳和库马尔(EUROCRYPT 2023)的“XOR提取器”,以便从某些量子熵源中获得更好的无籽提取,并展示了多项式插值如何在我们的阈值共享和认证删除环境中兼作高速随机抽取器。
Isheeta Nargis和Anwar Hasan
我们设计了一种新的MPC协议,用于抵抗具有1/2威慑力的无擦除隐蔽自适应对手。新的MPC协议在渐近通信成本、PKE操作次数和求幂操作次数上与用于抵抗隐蔽静态对手的算术电路的最有效MPC协议相同。这意味着,新的MPC协议几乎可以免费将安全性从隐蔽的静态安全提高到隐蔽的自适应对手。对于参与方数量n远大于乘法门数量M的MPC问题,新的MPC协议相对于最有效的MPC算法电路协议,在抗无擦除主动自适应对手的安全性方面,逐渐提高了通信复杂性。
Aram Jivanyan和Karen Terjanian
我们正在为区块链,称为利益和活动证明(PoSA),它可以通过集成来增强传统的权益证明方法独特的活动证明系统。PoSA提供了引人注目的通过奖励促进权力下放的经济模式验证者基于其赌注资本和业务他们为链条贡献的价值。该协议已经已经实现为一个完全免费的区块链平台名为Bahamut(www.Bahamut.io)的网站已经拥有数十万活跃用户。
代理已经足够了:TLS Oracle中代理的安全性和AEAD上下文不可扩展性
未分类
罗钟堂、贾燕雪、沈耀斌和凯特
TLS oracles允许TLS客户端向外部(oracle)节点提供选择性数据来源,从而确保oracle节点的数据确实来自预定义的TLS服务器。通常,客户端/用户以零知识的方式提供其凭据并显示数据,以向预言者演示某些信息,同时确保其余数据的隐私。从概念上讲,这是TLS服务器、TLS客户端(证明程序)和oracle(验证程序)节点之间的标准三方安全计算;然而,TLS预言的关键实际要求是确保数据来源过程对TLS服务器保持透明。最近的TLS oracle协议(如DECO)实施了服务器-客户端验证器的通信模式,并在TLS期间利用了一种新颖的三方握手过程,以确保数据完整性,防止客户端可能的篡改。然而,这种方法会对客户端/验证程序和验证器造成严重的性能损失,并提出了一个问题,即是否可以通过在服务器和客户端之间放置验证器(作为代理)来提高性能,以便验证器始终可以使用正确的TLS转录本。这项工作为这个oracle代理问题提供了积极和消极的答案:我们首先形式化了oracle代理概念,它允许验证者直接代理客户端-服务器TLS通信,而无需进行三方握手或以任何方式干扰连接。然后我们说明,对于常见的基于TLS的高级协议(如HTTPS),验证程序代理的数据完整性是通过HTTP协议语义中内置的变量填充来确保的。另一方面,如果基于TLS的协议没有变量填充,我们将证明无法保证数据完整性。在这种情况下,我们接着研究TLS响应是预先确定的,并且在连接期间不能被篡改的情况。我们提出了上下文不可伪造性的概念,并且显示允许克服不可能。我们进一步表明,ChaCha20-Poly1305满足概念,而AES-GCM不符合标准模型。
Shi Bai、Hansraj Jangir、Hao Lin、Tran Ngo、Weiqiang Wen和Jinwei Zheng
由Cheon,Kim,Kim,Son(IACR ePrint 2019/1468)和Chuengsatiansup,Prest,Stehlé,Xagawa钱包(ASIACCS’20)概括了通用NTRU假设-选项。其主要优势之一在于能够提供更大的灵活性-参数的ity,例如基础环维度。在这项工作中,我们提出了几种基于格的加密方案,它们是IND-CPA(或OW-CPA)在基于模块-NTRU的标准模型中安全以及模块-LWE问题。利用Fujisaki-Okamoto变压器-mation,可以获得IND-CCA安全密钥封装方案。我们的第一个加密方案基于Module-NTRU假设,它使用基础环上秘密矩阵的行列式用于解密。我们的第二个方案类似于模块-LWE加密方案,但仅使用矩阵作为公钥,基于模NTRU问题的向量变量。最后,我们对已知攻击进行综合分析并提出具体参数-用于实例化的ters。特别是,我们的密文大小约为614(分别为1228)字节,用于NIST 1级(分别为5级)安全和小型解密失败,使其与最新的方案(如张、冯和严提出的建议(亚洲青年队'23)。我们还提供NIST 3级的几个竞争参数,该级别具有ci-921字节的信息文本大小。此外,我们的方案不要求具体用于明文编码和解码的代码。
Choi Wonseok、Jooyoung Lee和Yeongmin Lee
本文研究了Chen等人在ASIACRYPT’21中分类的MAC结构的安全性。准确地说,$F^{text{EDM}}{B_2}$(或在CRYPTO中由Coglati和Seurin命名的$\mathsf{EWCDM}$)、$F^}\text{EDM{}{B_3}$、$F_{text{SoP}}{B2}$、$F^{text{SoP{}}{B3}$(均由Chen等人命名)在非相关设置中被证明是完全安全的,最多可达$2^n$MAC查询,改进了$\frac{3n}{4}的上一个界$-bit安全性。特别是,$F^{\text{SoP}}_{B_2}$和$F^}\text{SoP}}{B_3}$随着具有重复nonce的查询数量的增加(当底层通用哈希函数满足称为耐多异或碰撞的特定属性时),性能会有很好的下降。为此,我们开发了一个新的工具,即基于两个独立置换的扩展镜像理论,该置换范围很广,包括不等式。此外,我们给出了从标准模型中的单用户安全边界到理想密码模型中的多用户安全边界的一般半黑盒约简,得到了比朴素混合参数更好的边界。这种简化适用于我们在本文中考虑的所有MAC构造,甚至可以更广泛地应用。我们还使用$O(2^{3n/4})$MAC查询和$O(1)$验证查询,而不使用重复的nonce,对$F^{\text{EDM}}_{B_4}$和$F^}\text{EDM}}{B_5}$进行匹配攻击。
安德烈·沙约和托马斯·德布里斯·阿扎德
理解给定最小距离的代码的最大大小是计算机科学和离散数学中的一个主要问题。寻找此类码的渐近界的最有效方法是使用Delsarte的关联方案理论。通过这种方法,Delsarte构造了一个线性程序,使得其最大值是给定最小距离的代码最大大小的上界。可以通过找到相应的对偶线性规划的解来限定该值。Delsarte的理论非常普遍,远远超越了二进制代码。在这项工作中,我们在关联方案的框架中提供了通用边界,它推广了Elias-Bassalygo边界,可以应用于从距离函数构造的任何关联方案。这些边界是通过构造Delsarte对偶线性规划的新解而获得的。我们实例化这些结果,并恢复$q$-ary码和恒宽二进制码的已知边界。我们的另一个贡献是,对于任何$Q$-多项式方案,恢复Delsarte对偶线性程序的MRRW型解,这些解的灵感来自Friedman和Tillich的Laplacian方法,而不是使用Christoffel-Darboux公式。我们特别展示了如何在这个框架中解释第二个线性规划界。
Isheeta Nargis和Anwar Hasan
在隐蔽对手模型中,腐败方可以以任何可能的方式表现为主动对手,但任何试图作弊的一方都会以最小的固定概率被诚实方抓住。这种概率被称为隐蔽对手模型的威慑因子。在安全方面,隐蔽对手强于被动对手,弱于主动对手。它比被动对手模型更现实。针对隐蔽对手的协议比针对主动对手的协议效率更高。隐秘对手模型仅针对静态破坏进行定义。自适应对手模型比静态对手更真实。在本文中,我们通过推广隐蔽对手模型的定义,定义了一种新的对手模型,即隐蔽自适应对手模型,以适应更现实的自适应腐败。我们证明了新的隐蔽自适应对手模型与现有的对手模型(如被动自适应对手模型、主动自适应对手模型)之间的安全关系对手模型和隐蔽静态对手模型。我们证明了新对手模型的序列合成定理,这对于实现新对手模型协议的模块化设计是必要的。
安娜丽莎·巴巴拉、亚历山德罗·基耶萨和关子怡
随机预言模型(ROM)中的相对化简洁参数是ROM中的简洁参数,可以证明/验证涉及对随机预言的查询的计算的正确性。我们证明ROM中不存在相对化的简洁参数。即使简洁的论证是相互作用的,即使稳健性是计算性的(而不是统计性的),也不可能发生。这种不可能性使人们普遍认为简洁的论点需要非相对化的技巧,这一观点得到了正式的认可。此外,我们的结果与其他预言模型形成了鲜明对比,最近的一系列工作已经为其构建了相对化简洁的非交互参数(SNARG)。事实上,相对化SNARG是一种强大的原语,例如,可以用于基于可伪造的密码假设来获得IVC(增量验证计算)和PCD(证明数据)的构造。我们的结果排除了ROM中IVC和PCD的这种方法。
让攻击者编程理想模型:适应性妥协的模块化和可组合性
约瑟夫·杰格
我们表明,Jaeger和Tyagi(Crypto'20)的自适应折衷安全定义不能应用于多种自然用途。这些包括从单用户安全性证明多用户安全性,级联PRF的安全性,以及共享相同理想原语的方案的安全性。我们提供了定义的新变体,并表明它们通过组合解决了这些问题。将这些定义扩展到非对称设置,我们在完全自适应折衷设置中建立了模块化KEM/DEM和Fujisaki-Okamoto公钥加密方法的安全性。这使得实例化比以前的构造更高效、更标准。
Boris Chan Yip Hon、Bilel Zaghdoudi、Maria Potop Butucaru、Sébastien Tixeuil和Serge Fdida
我们为叙事游戏提出了Challenger一种基于对等区块链的中间件架构,并讨论了其对欺骗攻击的弹性。我们的体系结构以完全去中心化的方式协调九个服务,其中节点既不知道系统的整个组成,也不知道系统的大小。所有这些组成部分都被协调在一起,以获得对作弊者的(强大)弹性。本文的主要贡献是首次提供了一个与特定区块链无关的叙事游戏架构,该架构汇集了几个不同的研究领域,即分布式账本、对等网络、多层在线游戏和抵御攻击的能力。
LightMAC和LightMAC_Plus的多用户安全
Nilanjan Datta、Shreya Dey、Avijit Dutta和Devdutto Kanungo
在FSE’16中,Luykx等人提出了$\textsf{LightMAC}$,可以证明它实现了与查询长度无关的PRF安全绑定。准确地说,当使用两个独立键控的$n$-位块密码实例化时,构造实现安全性的顺序大致为$O(q^2/2^n)$,$q$是对手进行的查询总数。随后,在ASIACRYPT’17中,Naito提出了$\textsf{LightMAC}$构造的超越生日变体,称为$\textsf{LightMAC_Plus}$,该变体建立在三个独立键控$n$-位块密码之上,实现了$2n/3$-位PRF安全性。这两种构造的安全性分析都是在单用户环境中进行的,我们假设对手可以访问构造的单个实例。在本文中,我们首次研究了多用户设置上下文中$\textsf{LightMAC}$和$\textsf{LightMAC Plus}$构造的安全性,其中我们假设对手可以访问该构造的多个实例。特别是,我们已经表明,在理想密码模型中,$\textsf{LightMAC}$保持大约$2^{n/2}$构造查询和$2^k$理想密码查询的安全性,而在理想密码模式中,$\textsf{LiightMAC_Plus}$保持约$2^}$构造搜索和$2${2k/3}$理想密码搜索的安全性,其中$n$表示块大小,$k$表示块密码的密钥大小。
